還記得我在三年前我在鐵人賽寫過一篇關於 PrintNightmare 的文章,文章連結:https://ithelp.ithome.com.tw/articles/10261251
而 PrintNightmare 搭配著 BYOVD 的攻擊手法和普遍大家錯誤的設定一路活到了 2024 年在最新版的 Windows 10 還能繼續用,我這篇就不細說漏洞的成因,簡單來說部分 IT 人員可能會為了讓大家能夠輕鬆安裝 driver,所以在微軟推出更新後依舊把 Point and Print Restrictions 給關掉,方便大家裝新的印表機。
幫各位畫幾個重點,為什麼上了更新可能還是有問題
Point and Print ,就是我幫大家畫重點的這一項,在 Vista 之後為了幫在裝印表機 Driver 會跳 UAC
大家覺得這實在太麻煩了,使用者會問東問西,所以許多廠商包括微軟都會教你說可以考慮關掉提示
這時候其中一項導致無法完全修復的原因就出現了,幫你裝惡意 print driver 也不用提權 <3
以下截圖自微軟論壇裡面的圖,外國很多 IT 也是這樣做。
Remote Printing ,一個友善的設計 Share 印表機給大家但因為安裝 driver 的關係,也導致有類似的問題。
如果你關閉了 remote printing ,恭喜你駭客不能 RCE 你,但你仍然有機會被 LPE。
詳細攻擊過程可以參考國外資安人員 itm4n 的文章,我就不借人家的文章內容去解釋了。
https://itm4n.github.io/printnightmare-exploitation/
我大微軟在 22H2 之後硬起來,想要把一些舊問題修復,所以在近一年的 Windows 11 開始 RPC over SMB 預設是不開啟的(詳細連結可參考:https://learn.microsoft.com/en-us/troubleshoot/windows-client/printing/windows-11-rpc-connection-updates-for-print)
並且搭配 UNC Hardened Access (微軟為了解決之前某一些的漏洞出的安全更新),這兩招做組合技,讓原本 PrintNightmare 在 Windows 11 22H2 後就開始不受影響了。
在後面我也會提到微軟在 Windows 11 上面硬起來的安全機制,讓我覺得總算要拋棄 legacy 兼容的感覺了。
iThome鐵人賽
看影片追技術