Windows PrintNightmare 漏洞和补丁分析

最新推荐文章于 2022-11-01 22:05:48 发布
最新推荐文章于 2022-11-01 22:05:48 发布
阅读量1.9k 收藏 2
点赞数
文章标签: javascript 安全 epoll js css
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/smellycat000/article/details/118561321
版权

 聚焦源代码安全,网罗国内外最新资讯!

一、背景

CVE-2021-34527是发生在windows打印服务中的漏洞,攻击者可以利用该漏洞使用低权限用户加载恶意DLL,实现远程代码执行。该漏洞于6月29日以0day的形式被披露[1],被称为PrintNightmare,直到7月6号,微软才推出相应的紧急补丁[2]。此外,该漏洞和微软六月份修复的CVE-2021-1675漏洞十分类似,都是通过加载DLL的方式实现代码执行。

二、CVE-2021-1675分析

该漏洞发生在 AddPrinterDriverEx函数,它一共有三个参数,其中第三个参数是flag,该flag有一个特殊的值并未在官方文档中出现:APD_INSTALL_WARNED_DRIVER = 0x00008000。根据图 1中的代码逻辑,在调用InternalAddPrinterDriverEx之前,会通过bittest对flag的第0xf位进行校验。如果该值为1的话,则v12的值仍然为0,可以绕过24行中对Access的检查,成功调用InternalAddPrinterDriverEx。  

    

图1. APD_INSTALL_WARNED_DRIVER通过权限校验

微软在6月8日修复了该漏洞,具体是在AddPrinterDriverEx中加入了对权限的校验,重点在于YIsElevated、YIsElevationRequered和RunningAsLUA三个函数,当v12==0、v13==1并且v9==1时,flag中的0x8000会通过&操作被去掉,导致后续调用到SplAddPrinterDriverEx时权限验证失败,阻止了漏洞发生。

图 2. CVE-2021-1675漏洞补丁

最低0.47元/天 解锁文章
奇安信代码卫士
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Windows Print Spooler权限提升漏洞PrintNightmare)
谢公子的博客
06-29 3831
目录 一:漏洞概述 二:影响范围 三:漏洞利用 四:漏洞防护 4.1 官方升级 4.2 临时防护措施 一:漏洞概述 6月9日,绿盟科技CERT监测到微软发布6月安全更新补丁,修复了50个安全漏洞,其中包括一个WindowsPrintSpooler权限提升漏洞CVE-2021-1675),此漏洞为绿盟科技天机实验室向微软报告并获得官方致谢。 Print Spooler是Windows系统中用于管理打印相关事务的服务,虽然微软在公告中将该漏洞标记为Important级别的本地权限提升漏洞..
所学漏洞总结
weixin_45540609的博客
08-31 848
一、CVE-2021-28474 MS SharePoint远程代码执行漏洞 1、漏洞简介 漏洞允许通过身份验证的用户在SharePoint web应用程序的服务账户中执行任意.NET代码。想要利用该漏洞,攻击者需要具备SharePoint站点的SPBasePermissions.ManageLists权限。默认情况下,经过身份验证的SharePoint用户可以创建网页页面,并拥有所需的所有权限。 2、漏洞成因 用于安全验证的代码和实际处理用户输入的代码之间不一致。 EditingPagePars
漏洞修复需要升级打补丁,打补丁准备工作
qianx0212的博客
10-10 3076
漏洞修复需要升级打补丁,打补丁准备工作
服务器简介(二):服务器安全威胁简介、漏洞补丁简介
Skye's Blog
04-06 1577
文章目录服务器安全威胁恶意程序防御方法黑客暴力破解防御方法SQL注入攻击防御方法DDoS攻击防御方法漏洞漏洞的分类漏洞存在的原因漏洞扫描常见扫描方法补丁 服务器安全威胁 服务器在使用过程中,存在着各种各样的安全威胁。假设服务器遭受攻击,就有可能无法正常运行。 安全威胁可以分为: 恶意程序 黑客暴力破解 SQL注入攻击 DDos攻击 系统漏洞 恶意程序 恶意程序一般是指带有攻击意图所编写的一段程...
Windows Print Spooler远程代码执行漏洞复现(CVE-2021-1675
yangbz123的博客
07-05 4788
目录漏洞概述漏洞复现一、PowerShell脚本实现本地提权二、Windows Print Spooler RCE域控MSF上线Cobalt Strike上线三、mimikatz武器化攻击漏洞防御参考链接 漏洞概述 Windows Print Spooler是Windows的打印机后台处理程序,广泛的应用于各种内网中,攻击者可以通过该漏洞绕过PfcAddPrinterDriver的安全验证,并在打印服务器中安装恶意的驱动程序。若攻击者所控制的用户在域中,则攻击者可以连接到DC中的Spooler服务,并利用该
漏洞复现|PrintNightmare(CVE-2021-1675)复现
weixin_42282189的博客
01-05 5250
作者: 飞天魔鬼 免责声明:本文仅供学习研究,严禁从事非法活动,任何后果由使用者本人负责。 0x01 简介 Windows Print Spooler是Windows的打印机后台处理程序,广泛的应用于各种内网中,攻击者可以通过该漏洞绕过PfcAddPrinterDriver的安全验证,并在打印服务器中安装恶意的驱动程序。若攻击者所控制的用户在域中,则攻击者可以连接到DC中的Spooler服务,并利用该漏洞在DC中安装恶意的驱动程序,完整的控制整个域环境。 环境准备 一个普通权限的域账户 目标开启.
Windows 权限提升:PrintNightmare
weixin_46634434的博客
02-23 588
介绍 自从 Stuxnet 蠕虫利用 print spooler 的特权升级漏洞通过网络在伊朗的核浓缩离心机中传播并感染了 45000 多个网络以来,Print Spooler 就一直受到研究人员的关注。PrintNightmare 是 Microsoft Windows 操作系统中 Print Spooler 服务 (spoolsv.exe) 中远程代码执行漏洞的通用名称。该漏洞被分配了 CVE-2021-34527。最初,它被认为是本地权限提升 (LPE) 并分配了 CVE-2021-1675。LPE
Print Spooler服务
08-21
例如,2021年的CVE-2021-34527(PrintNightmare)漏洞就引发了广泛的关注。因此,保持操作系统和Print Spooler服务的更新至关重要,以防止潜在的安全风险。 4. **故障排查**:如果Print Spooler服务出现问题,可能...
漏洞补丁:windwos补丁下载(MS17-010)
guyuelin123的博客
11-01 4568
记录一下如何下载windows补丁,起因为在群里搜集到一份其他格式排版的补丁报告(重庆信安网络安全等级测评),其称之为扫描渗透报告。
微软补丁星期二值得关注的漏洞
smellycat000的专栏
09-14 243
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士微软在9月补丁星期二修复了79个漏洞,其中包括1个已遭利用的0day。在这79个漏洞中,15个位于微软Edge中,64个是新发布的。在这64个漏洞中,5个是“严重”级别,57个是“重要”级别,1个是“中危”级别,1个是“低危”级别。值得重点关注的漏洞(1) CVE-2022-37969:Windows CLFS 驱动提权漏洞漏洞位于Comm...
windows部分漏洞补丁(G)
07-29
windows部分漏洞补丁,快速升级系统
window xp漏洞补丁
12-19
常见xp各种补丁,免去打补丁的烦恼
windows漏洞补丁
09-13
windows漏洞补丁
微软的安全补丁分析
热门推荐
陈皓专栏 【空谷幽兰,心如皓月】
04-23 3万+
源文:http://coolshell.cn/?p=2305 (酷壳) 截止至2009年底,大约有90%的微软安全补丁是把管理员权限给disable了。根据 BeyondTrust的报告,到今年3月分,Windows 7 有57%的安全补丁是以移除管理员权限作为解决方法的,相比较而言,Windows 2000 是 53%,Windows XP 是 62%,Windows Server
补丁文件格式分析
weixin_34106122的博客
07-26 514
摘自:《git权威指南》    
linux补丁 CVE漏洞补丁,深入解读补丁分析发现的linux内核提权漏洞(CVE-2017–1000405)...
weixin_42361175的博客
05-16 1095
作者:rain预估稿费:400投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿1. 前言近日(2017.11.30)国外安全团队Bindecy爆出名为大脏牛(Huge Dirty Cow)的内核提权漏洞,编号为CVE-2017–1000405。包含linux内核(2.6.38~4.14)的服务器,桌面,移动等众多设备将面临严重挑战,数以百万计的用户受到安全威胁。该漏洞是由于对...
2021年4月Oracle数据库补丁分析报告
Enmotech的博客
05-12 881
点击上方"蓝字"关注我们,享更多干货!引言编写目的编写此文档为了更好地指导Oracle补丁安装工作,细化工作任务,规范安装升级操作。背景Oracle对于其产品每个季度发行一...
各大热补丁方案分析和比较
马克宅只是个码农
11-24 1704
最近开源界涌现了很多热补丁项目,但从方案上来说,主要包括[Dexposed](https://github.com/alibaba/dexposed)、[AndFix](https://github.com/alibaba/AndFix)、[ClassLoader](http://bugly.qq.com/blog/?p=781)(来源是原QZone,现淘宝的工程师陈钟,在15年年初就已经开始实现)三种。
KPTI补丁分析
Linux阅码场
03-11 2752
1 KPTI概述KPTI(Kernel PageTable Isolation)全称内核页表隔离。KPTI是由KAISER补丁修改而来。之前,进程地址空间被分成了内核地址空间和用户地址空间。其中内核地址空间映射到了整个物理地址空间,而用户地址空间只能映射到指定的物理地址空间。内核地址空间和用户地址空间共用一个页全局目录表(PGD表示进程的整个地址空间),meltdown漏洞就恰恰利用了这一点。攻击
CVE-2021-34527漏洞提权
最新发布
05-12
CVE-2021-34527,也被称为PrintNightmare漏洞,是一个Windows Print Spooler服务中的安全漏洞,影响了Windows 7、Windows Server 2008、Windows Server 2012和Windows Server 2016等操作系统版本。攻击者可以利用这个漏洞获取系统管理员权限,甚至可能完全控制受影响的系统。 该漏洞的攻击方式比较多样化,可能通过本地访问或远程利用进行攻击。攻击者可以利用Windows Print Spooler服务的缺陷来执行任意代码,导致受影响系统上的数据泄露、恶意软件安装、系统崩溃等问题。 Microsoft已经发布了一些补丁和建议的修复方法,建议用户及时更新系统并采取相关防范措施。同时,网络管理员也应该注意加强对网络设备的安全管理,限制外部访问,以及随时关注最新的安全漏洞信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值