灵异现象 - 我是你的恶梦

Credit: 贾希大人不气馁！
灵感来源：UCCU Hacker

灵异现象

主角：菜鸟 IT 小新

故事发生在 2021 年，小新有一天上班与同事讨论最近有没有资安漏洞更新需要做，
老鸟老K: 「小新，你看一下最近有人说 CVE-2021-1675 变成新的漏洞，还取了一个很厉害的名字。」
小新：「听说叫做 printnightmare 是印表机的漏洞，好像很严重耶，微软目前只有叫客户关闭印表机」
老K: 「Server 还好关，普通人的电脑关闭印表机那些业务不用做事了腻，每次微软都给这种建议！(气)」
小新：「那我持续关注，能关/没有必要的 Server 我就先安排关闭 Print Spooler Service 罗」
老K: 「也只能这样了，有更新你就先把你的电脑做更新确认没问题在让大家快点更新」
就这样小新开始了他的更新梦魇...

第一次 printnightmare 更新，小新想说太棒了吧，更新那麽快马上开始测试
但过了一天，从做资安的朋友那边的消息说微软更新不完全还是有漏洞
小新心想，那我多等一个礼拜好了，下礼拜应该就有更新了吧
下一个礼拜，微软没有修复 printnightware 并且上次的更新导致一些印表机厂商的印表机不能列印了。

不知过了多久，小新想起这个漏洞了，马上去微软 MSRC 检查有没有更新讯息，
不看还好，看完小新就一个头两个大，更新虽然能微软补完，但微软加了一堆说明，
小新根本看不懂不小心怎麽检查，马上询问了做资安的朋友。

做资安的朋友：「好消息是微软修好了，坏消息是很多场域套了更新还是可能有问题」
（（小新当场昏了一下

真实情况

上面故事提到的漏洞也就是 printnightmare
CVE 编号: CVE-2021-1675 -> CVE-2021-34527
可怕的是，就算你上了更新可能你的场域还是有 LPE/RCE 的危害存在。
为甚麽呢？一切都是微软与各位 IT 与印表机的历史共业，

帮各位画几个重点，为什麽上了更新可能还是有问题

1. Point and Print ，在 Vista 之後为了帮在装印表机 Driver 会跳 UAC
   大家觉得这实在太麻烦了，使用者会问东问西，所以许多厂商包括微软都会教你说可以考虑关掉提示
   这时候其中一项导致无法完全修复的原因就出现了，帮你装恶意 print driver 也不用提权 <3
   以下截图自微软论坛里面的图，外国很多 IT 也是这样做。
   

2. Remote Printing ，一个友善的设计 Share 印表机给大家但因为安装 driver 的关系，也导致有类似的问题。
   如果你关闭了 remote printing ，恭喜你骇客不能 RCE 你，但你仍然有机会被 LPE。

   上面讲了那麽多，你一定会很好奇到底甚麽状况会被 printnightmare 影响，
   所以附上一张参考价值极高的图，有兴趣的可以钻研。
   

参考资料

• https://www.kb.cert.org/vuls/id/383432
• https://twitter.com/gentilkiwi/status/1412424077655085072/photo/1
• https://systemcenterdudes.com/windows-10-point-and-print-printer-installation-prompt-uac/