PrintNightmare (CVE-2021-34527).

PrintNightmare(CVE-2021-34527)是 Windows Print Spooler 服务(spoolsv.exe)中的一个缺陷,它未能正确限制对 RpcAddPrinterDriverEx() RPC 调用的访问。攻击者只需将 spooler 指向托管在远程 SMB/UNC 共享上的恶意打印机驱动 DLL,任何已认证的域用户都可以让以 SYSTEM 权限运行的 spooler 加载并执行该 DLL——既能实现本地权限提升,又能在针对远程 spooler 时实现完整的远程代码执行。由于 Print Spooler 默认在域控制器上运行,其对 Active Directory 环境的影响极为严重。

此次披露过程相当混乱:它与 CVE-2021-1675 共用同一条 RpcAddPrinterDriverEx 代码路径,后者是一个于 2021 年 6 月修补的「重要」级 LPE。当研究人员在 2021 年 6 月底发布概念验证代码时——他们以为针对的是已修补的 CVE-2021-1675——实际上触发的却是一个独立且未修补的 RCE,微软随后将其重新编号为 CVE-2021-34527。关键在于,在 Point and Print 被配置为 NoWarningNoElevationOnInstall = 1 的情况下,该补丁并不能阻止利用。

微软在 2021 年 7 月发布了带外更新以及注册表加固指南。防御措施:应用所有与 PrintNightmare 相关的补丁;在不需要打印的服务器(尤其是域控制器)上禁用 Print Spooler;将 Point and Print 驱动安装限制为管理员;并阻止流向不受信任主机的出站 SMB。

flowchart TD
  A[低权限域用户] --> B[向 spoolsv.exe 发起 RPC 调用<br/>RpcAddPrinterDriverEx]
  B --> C[spooler 从攻击者的 SMB/UNC 共享<br/>获取驱动 DLL]
  C --> D{是否有 Point and Print<br/>限制?}
  D -->|无限制| E[spooler 以 SYSTEM 加载 DLL]
  D -->|仅限管理员| F[安装被阻止]
  E --> G[以 SYSTEM 执行代码]
  G --> H[本地权限提升]
  G --> I[在域控制器上<br/>远程代码执行]