研究人員:微軟發布的緊急例外修補未能完整修補PrintNightmare漏洞

即使 Microsoft在7月6日為 Windows 10 版本 1607、Windows Server 2012 和 Windows Server 2016 的 PrintNightmare 漏洞發布了緊急例外修補KB5004945,隨著越來越多的研究人員開始修補他們的漏洞並測試修補,今確定漏洞可完全繞過整個修補來實現遠端程式碼執行(RCE)和本地特權升級(LPE)。

PrintNightmare 源於 Windows Print Spooler服務中的錯誤,該服務管理本地網路內的列印過程。該威脅的主要問題是非管理員用戶能夠load他們自己的列印機驅動程式,但這已得到糾正。微軟最新更新要求一般使用者僅能安裝經合法簽發的印表機驅動程式,管理員則可安裝經簽發或未經簽發的驅動程式。

在更新發布後,美國CERT/CC 漏洞分析師 Will Dormann 警告說,該補丁“似乎只解決​​了 PrintNightmare 的遠端程式碼執行(通過 SMB 和 RPC 的 RCE),而不是本地特權升級(LPE)”,因此允許攻擊者濫用後者以獲取易受攻擊系統的 SYSTEM 權限。現在,更新的進一步測試顯示,攻擊目標的漏洞可以繞過修補完全獲得遠端程式碼執行(RCE)和本地特權升級(LPE)。但是,要實現這一點,必須啟用Windows群組政策(Group Policy) 中名為“Point and Print Restrictions” 的政策(Computer Configuration\Policies\Administrative Templates\Printers: Point and Print Restrictions),使用該政策安裝惡意印表機驅動程式。

值得注意,Microsoft 為 CVE-2021-34527 更新並不能有效防止Point and Print政策中 “NoWarningNoElevationOnInstal”設置為 1 (set to 1)的系統開採。Dormann表示,就微軟而言,它在其公告解釋說,”Point and Print” 與此漏洞沒有直接關係,但該技術削弱了本地環境,從而使漏洞可被開採。”

雖然 Microsoft 已建議停止和關閉 Print Spooler 服務的核心選項,但另一種解法是啟用Point and Print,並通過配置”RestrictDriverInstallationToAdministrators”記錄檔,來限制管理員單獨安裝印表機驅動程式的權限以防止普通用戶在印表機伺服器上安裝驅動程式。

竣盟科技資安快訊:LockTaiwan 勒索軟體獨家追蹤

竣盟科技資安快訊: 根據日前國外知名的資安網站 Malware Hunter Team 惡意軟體獵人團隊發佈的推文,以及其專家的分析,可看出雖然攻擊臺灣企業的惡意軟體是在 5月 4日開始攻擊,但其實他們已經在 5月 3日編譯完成,而在撰寫本文時,僅知在台灣的企業受到影響。

以下為臺灣企業最近收到的勒索信,名稱為: How to Unlock Files.txt

圖一

圖二

圖三

部份資訊已被外媒 Cyberscoop 報導,他們相信有最少 2個惡意程式樣本,另根據分析文章的作者 Amigo-A 表示,已經從事件檢測與回應中,命名此惡意軟體為 LockTaiwan,由於此乃新型勒索惡意軟體,國內尚未有參考資料。

類似 LockTaiwan 這種惡意軟體常與免費的第三方程式捆綁在一起傳播,這些程式一般透過不可靠的網站下載。另外當您打開或點擊帶有惡意程式郵件內容時,病毒也可能會感染到您的電腦上。所以在打開附件或點擊可疑連結之前,使用額外安裝的病毒掃瞄程式檢查是非常重要的。已感染的特洛伊木馬和惡意軟體下載程式,也可能會在您的PC上感染此病毒。瀏覽色情或 P2P種子網站,以及下載破解軟體或遊戲等等,都可能會將這類病毒帶入您的系統。

應對措施

  • 由於您的所有文件都是使用軍用級加密算法進行加密的,而且密鑰在犯罪者手上,因此基於原始數據復原(指解密),這是個無解的困境。
  • 向犯罪者支付贖金或試圖與之聯繫有很大的風險。因為在付款後,對方有可能會就此停止聯繫,甚至解密器可能無法工作,或其本身帶來了更多威脅。
  • 千萬不要使用號稱功能強大的反惡意軟體,這種軟體聲稱可以完全消除系統中的有害威脅。但使用之後,您可能失去的更多。
  • 針對勒索病毒的危害,正確的應對措施是平日的多重備份機制與定時的還原演練。
  • 除了基本的防火牆外,還要積極佈署具備篩選功能的代理伺服器、閘道過濾、電子郵件閘道防護,以及終端電腦的弱點更新、防毒碼更新等安全防護佈署。
  • 佈署威脅偵測機制,如 SIEM、HIDS、封包檢測及進階誘捕系統等產品,可以早期發現,並防止威脅擴散。
  • 對於重要的交易系統,可以佈署執行程序限制方案,防止惡意程式的執行。
  • 透過教育訓練與各種攻擊演練,加強終端用戶的資安防護意識。

以上為竣盟科技您整理出來的資料

資料來源請參考 MalwareHunterTeam on Twitter:

以及完整的分析文件

https://id-ransomware.blogspot.com/2020/05/locktaiwan-ransomware.html

#需要👽SIEM👽記得找竣盟科技唷

#誘捕專家Acalvio的 ShadowPlex平台竣盟科技也有代理喔

#資安情資請看OTX

#快去follow竣盟科技的粉絲專頁吧^^

*****本文歡迎轉載,但請註明出處。