0patch发布拯救Windows PrintNightmare漏洞的免费微补丁

0patch如此热衷于提供帮助的原因之一是，微软建议的变通方法具有相当严重的后果。该公司在一篇博文中说："微软已经确认PrintNightmare是CVE-2021-1675的一个独立漏洞，将其分配给CVE-2021-34527，并建议受影响的用户禁用Print Spooler服务或禁用远程打印"。

除了微软的建议，从社区收集到的解决方法包括从 "Pre-Windows2000兼容访问"组中删除认证用户，以及设置打印线轴文件夹的权限以防止攻击。

所有这些缓解措施都可能产生不想要的和意想不到的副作用，可能会破坏生产中的功能，有些包括与打印无关的功能。

该公司正在为四个受影响的Windows Server版本提供免费补丁--2008 R2、2012、2016和2019。通常情况下，0patch对其大部分服务收费，但正如它过去所做的那样，它认为PrintNightmare漏洞引起的问题足够严重，可以免费提供帮助，直到微软制作一个官方补丁。

0patch表示其微补丁阻止了函数AddPrinterDriverEx的dwFileCopyFlags中的APD_INSTALL_WARNED_DRIVER标志绕过对象访问检查，这是使攻击得以成功的关键。"安装被警告的驱动程序"的功能并不常用，破坏它以换取保护Windows机器免受琐碎的远程利用是一个很好的权衡。

针对PrintNightmare的微补丁将是免费的，直到微软发布官方修复。如果你想使用它们，请在0patch中心创建一个免费账户，然后从0patch.com安装和注册0patch代理。其他一切都会自动发生，不需要重新启动计算机。

兼容性说明：一些Windows 10和服务器系统在运行0patch代理的系统上启动软件保护平台服务（sppsvc.exe）时偶尔会出现超时现象。这看起来像是Windows代码完整性缓解中的一个错误，它可以防止0patch组件被注入服务中（这没有问题），但有时也会做很多看似无意义的处理，导致进程启动超时。因此，可能会发生各种与许可有关的错误。这个问题如果发生，可以通过将sppsvc.exe从0patch注入中排除来解决，如本文所述。

完整的细节可以在这篇博文中找到：

https://blog.0patch.com/2021/07/free-micropatches-for-printnightmare.html

相关文章:

零日漏洞PrintNightmare曝光：可在Windows后台执行远程代码