奇安信攻防社区-Windows PrintNightmare 漏洞（CVE-2021-34527) 和补丁分析

Windows PrintNightmare 漏洞（CVE-2021-34527) 和补丁分析

CVE-2021-34527是发生在windows打印服务中的漏洞，攻击者可以利用该漏洞使用低权限用户加载恶意DLL，实现远程代码执行。该漏洞于6月29日以0day的形式被披露[1]，被称为PrintNightmare，直到7月6号，微软才推出相应的紧急补丁[2]。此外，该漏洞和微软六月份修复的CVE-2021-1675漏洞十分类似，都是通过加载DLL的方式实现代码执行。

**一、背景**
========

CVE-2021-34527是发生在windows打印服务中的漏洞，攻击者可以利用该漏洞使用低权限用户加载恶意DLL，实现远程代码执行。该漏洞于6月29日以0day的形式被披露\[1\]，被称为PrintNightmare，直到7月6号，微软才推出相应的紧急补丁\[2\]。此外，该漏洞和微软六月份修复的CVE-2021-1675漏洞十分类似，都是通过加载DLL的方式实现代码执行。

**二、CVE-2021-1675分析**
=====================

该漏洞发生在 AddPrinterDriverEx函数，它一共有三个参数，其中第三个参数是flag，该flag有一个特殊的值并未在官方文档中出现：APD\_INSTALL\_WARNED\_DRIVER = 0x00008000。根据图 1中的代码逻辑，在调用InternalAddPrinterDriverEx之前，会通过bittest对flag的第0xf位进行校验。如果该值为1的话，则v12的值仍然为0，可以绕过24行中对Access的检查，成功调用InternalAddPrinterDriverEx。  
[![](https://shs3.b.qianxin.com/attack_forum/2021/07/attach-db7dd4d8bfd80ee978abe6e1407b67b55e5b8c1b.jpg)](https://shs3.b.qianxin.com/attack_forum/2021/07/attach-db7dd4d8bfd80ee978abe6e1407b67b55e5b8c1b.jpg)

图1. APD\_INSTALL\_WARNED\_DRIVER通过权限校验

微软在6月8日修复了该漏洞，具体是在AddPrinterDriverEx中加入了对权限的校验，重点在于YIsElevated、YIsElevationRequered和RunningAsLUA三个函数，当v12==0、v13==1并且v9==1时，flag中的0x8000会通过&amp;amp;操作被去掉，导致后续调用到SplAddPrinterDriverEx时权限验证失败，阻止了漏洞发生。  
[![](https://shs3.b.qianxin.com/attack_forum/2021/07/attach-8e159d3cdcf0300fbb23c4298a3b319503f1072f.png)](https://shs3.b.qianxin.com/attack_forum/2021/07/attach-8e159d3cdcf0300fbb23c4298a3b319503f1072f.png)

图 2. CVE-2021-1675漏洞补丁

**三、CVE-2021-34527（PrintNightmare）分析**
======================================

PrintNightMare漏洞可以理解成对CVE-2021-1675补丁的绕过，本文以mimikatz\[3\]中提供的exp为例进行漏洞分析。

Mimikatz中利用的PrintNightmare漏洞使用到了另一个打印服务的API：RpcAsyncAddPrinterDriver，用于绕过上述补丁中的权限检查。如图 2代码所示，该API同样可以设置flag，增加APD\_INSTALL\_WARNED\_DRIVER，由于该函数没有增加校验过程，因此可以完美绕过后续的bittest检查，实现恶意DLL加载和代码执行。  
[![](https://shs3.b.qianxin.com/attack_forum/2021/07/attach-e378efa0e46228e0bc0e108ff47698c918cb1f12.png)](https://shs3.b.qianxin.com/attack_forum/2021/07/attach-e378efa0e46228e0bc0e108ff47698c918cb1f12.png)

图3. Mimikatz中printnightmare利用部分代码

具体看，exp首先调用spoolsv!TRemoteWinspool::RpcAsyncAddPrinterDriver函数，如图 4所示，该函数会调用TFunction4设置回调。  
[![](https://shs3.b.qianxin.com/attack_forum/2021/07/attach-5a6876753caea3e5df3b403ffd25f41e6ae92ae4.png)](https://shs3.b.qianxin.com/attack_forum/2021/07/attach-5a6876753caea3e5df3b403ffd25f41e6ae92ae4.png)

图4. RpcAsyncAddPrinterDriver函数

TFunction4设置了对YAddPrinterDriverEx的调用，如图 5所示，v7偏移128处即为YAddPrinterDriverEx；在图 6中，异步回调用到了a1偏移128处的函数指针进行调用，即调用了YAddPrinterDriverEx。  
[![](https://shs3.b.qianxin.com/attack_forum/2021/07/attach-8f048ec08affbc59cd482123b5ff28731bda43db.jpg)](https://shs3.b.qianxin.com/attack_forum/2021/07/attach-8f048ec08affbc59cd482123b5ff28731bda43db.jpg)

图5. TFunction4设置回调函数

[![](https://shs3.b.qianxin.com/attack_forum/2021/07/attach-487004f9e377076d08d2a8bff740c762df470b29.png)](https://shs3.b.qianxin.com/attack_forum/2021/07/attach-487004f9e377076d08d2a8bff740c762df470b29.png)

图6. 异步调用YAddPrinterDriverEx回调

调用到YAddPrinterDriverEx时，flag中的APD\_INSTALL\_WARNED\_DRIVER项仍然存在，因此可以绕过添加DLL前的权限检查，实现DLL加载。  
[![](https://shs3.b.qianxin.com/attack_forum/2021/07/attach-f1811f5dbd1375c862a473c7b9ce0afdfbf3404a.png)](https://shs3.b.qianxin.com/attack_forum/2021/07/attach-f1811f5dbd1375c862a473c7b9ce0afdfbf3404a.png)

图 7. 恶意DLL加载

[![](https://shs3.b.qianxin.com/attack_forum/2021/07/attach-23b129105af517549494e133450977848ac03a2b.jpg)](https://shs3.b.qianxin.com/attack_forum/2021/07/attach-23b129105af517549494e133450977848ac03a2b.jpg)  
图 8. 攻击成功界面

**四、PrintNightmare补丁分析**
========================

微软的补丁主要修改了RpcAddPrinterDriverEx和RpcAsyncAddPrinterDriver两个函数。

1. RpcAddPrinterDriverEx补丁
--------------------------

如图 9所示，在RpcAddPrinterDriverEx中，补丁增加了YIsInAdministratorGroup函数来判断当前用户是否在Administrator组中，如果不在的话，v9，v12和v13的值为false；  
[![](https://shs3.b.qianxin.com/attack_forum/2021/07/attach-6b43e729821c60f944febbae75e0bfdca2a64d82.png)](https://shs3.b.qianxin.com/attack_forum/2021/07/attach-6b43e729821c60f944febbae75e0bfdca2a64d82.png)

图9. RpcAddPrinterDriverEx补丁

如图 10所示，YIsElevationRequired函数会通过获取注册表项NoWarningNoElevationOnInstall的值来判断是否需要提升权限以安装驱动，该函数返回值如果为true则表示需要。如果 v12的值为false，则会导致第58行的if判断成功，并进一步在59行中清除flag的APD\_INSTALL\_WARNED\_DRIVER项。  
[![](https://shs3.b.qianxin.com/attack_forum/2021/07/attach-c25a0a419f4a569686ea8b0de079a4498a463d36.png)](https://shs3.b.qianxin.com/attack_forum/2021/07/attach-c25a0a419f4a569686ea8b0de079a4498a463d36.png)

图10. YIsElevationRequired函数实现

YRestrictDriverInstallationToAdministrators函数同样也是通过注册表项来判断，是否可以向Administrator组中安装驱动，如果返回true的话，则会对图 9中61行的判断产生影响，导致无法添加驱动（在v13为false时）。  
[![](https://shs3.b.qianxin.com/attack_forum/2021/07/attach-47ad59b72bec45cf519f4a1958236c61a786079f.png)](https://shs3.b.qianxin.com/attack_forum/2021/07/attach-47ad59b72bec45cf519f4a1958236c61a786079f.png)

图 11. YRestrictDriverInstallationToAdministrators函数实现

2. RpcAsyncAddPrinterDriver补丁
-----------------------------

在针对RpcAsyncAddPrinterDriver的补丁中，同样增加了对于权限的校验，当YIsElevationReuqred函数返回True时，同样会清除flag中的APD\_INSTALL\_WARNED\_DRIVER项。  
[![](https://shs3.b.qianxin.com/attack_forum/2021/07/attach-274153ef140fbc2a9b0a6dc679ca571e0e9c2a70.png)](https://shs3.b.qianxin.com/attack_forum/2021/07/attach-274153ef140fbc2a9b0a6dc679ca571e0e9c2a70.png)

图 12. RpcAsyncAddPrinterDriver补丁

**五、参考资料**
==========

\[1\]. hhlxf (Jun 29, 2021). PrintNightmare. <https://github.com/afwu/PrintNightmare>

\[2\]. MSRC (Jul 06, 2021). Windows Print Spooler Remote Code Execution Vulnerability (CVE-2021-34527). <https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527>

\[3\]. Benjamin DELPY (Jul 01, 2021). mimikatz misc::printnightmare little POC. <https://github.com/gentilkiwi/mimikatz>

推荐阅读  
\[从 CVE-2020-1048 到 CVE-2020-17001：Windows打印机模块中多个提权漏洞分析\]([http://https://mp.weixin.qq.com/s?\_\_biz=MzI2NTg4OTc5Nw==&amp;amp;amp;mid=2247497271&amp;amp;amp;idx=1&amp;amp;amp;sn=2e2d557249a47ca2efc27fbbe4fc38e1&amp;amp;amp;chksm=ea94c75ddde34e4b1cb5cb8a5d601959a1d861578b9a4ce383eae9bb56d3e0e41b4acc0b73d7&amp;amp;amp;scene=21#wechat\_redirect](http://https//mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&amp;amp;mid=2247497271&amp;amp;idx=1&amp;amp;sn=2e2d557249a47ca2efc27fbbe4fc38e1&amp;amp;chksm=ea94c75ddde34e4b1cb5cb8a5d601959a1d861578b9a4ce383eae9bb56d3e0e41b4acc0b73d7&amp;amp;scene=21#wechat_redirect) &amp;quot;从 CVE-2020-1048 到 CVE-2020-17001：Windows打印机模块中多个提权漏洞分析&amp;quot;)  
\[微软“照片”应用Raw 格式图像编码器漏洞 (CVE-2021-24091)的技术分析\]([http://https://mp.weixin.qq.com/s?\_\_biz=MzI2NTg4OTc5Nw==&amp;amp;amp;mid=2247502693&amp;amp;amp;idx=1&amp;amp;amp;sn=0daf4033d561438e292f3eb4f09e5a9d&amp;amp;amp;chksm=ea94fa0fdde37319e7b1a6767bf76396b3b91e1326ef9e397b38fe69443f651d7f52581ff9ec&amp;amp;amp;scene=21#wechat\_redirect](http://https//mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&amp;amp;mid=2247502693&amp;amp;idx=1&amp;amp;sn=0daf4033d561438e292f3eb4f09e5a9d&amp;amp;chksm=ea94fa0fdde37319e7b1a6767bf76396b3b91e1326ef9e397b38fe69443f651d7f52581ff9ec&amp;amp;scene=21#wechat_redirect) &amp;quot;微软“照片”应用Raw 格式图像编码器漏洞 (CVE-2021-24091)的技术分析&amp;quot;)  
\[开源OS FreeBSD 中 ftpd chroot 本地提权漏洞 (CVE-2020-7468) 的技术分析\]([http://https://mp.weixin.qq.com/s?\_\_biz=MzI2NTg4OTc5Nw==&amp;amp;amp;mid=2247499356&amp;amp;amp;idx=1&amp;amp;amp;sn=f95ec3f9ca222c3ccef3d1162af259b8&amp;amp;amp;chksm=ea94cf36dde34620d380b15d760f31aa5b3729cc379fa68a784ddcefde453df7db3a28a99f29&amp;amp;amp;scene=21#wechat\_redirect](http://https//mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&amp;amp;mid=2247499356&amp;amp;idx=1&amp;amp;sn=f95ec3f9ca222c3ccef3d1162af259b8&amp;amp;chksm=ea94cf36dde34620d380b15d760f31aa5b3729cc379fa68a784ddcefde453df7db3a28a99f29&amp;amp;scene=21#wechat_redirect) &amp;quot;开源OS FreeBSD 中 ftpd chroot 本地提权漏洞 (CVE-2020-7468) 的技术分析&amp;quot;)  
\[详细分析 Sonlogger 任意文件上传漏洞 (CVE-2021-27964)\]([http://https://mp.weixin.qq.com/s?\_\_biz=MzI2NTg4OTc5Nw==&amp;amp;amp;mid=2247504045&amp;amp;amp;idx=1&amp;amp;amp;sn=71126e3dac71d3736468e96b9cedf9fe&amp;amp;amp;chksm=ea94e1c7dde368d1ff301fee22cb5a1f5a65c0a967c889a2929ff95928154be87755e720d40d&amp;amp;amp;scene=21#wechat\_redirect](http://https//mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&amp;amp;mid=2247504045&amp;amp;idx=1&amp;amp;sn=71126e3dac71d3736468e96b9cedf9fe&amp;amp;chksm=ea94e1c7dde368d1ff301fee22cb5a1f5a65c0a967c889a2929ff95928154be87755e720d40d&amp;amp;scene=21#wechat_redirect) &amp;quot;详细分析 Sonlogger 任意文件上传漏洞 (CVE-2021-27964)&amp;quot;)  
\[手把手教你详细分析 Chrome 1day 漏洞 (CVE-2021-21224)\]([http://https://mp.weixin.qq.com/s?\_\_biz=MzI2NTg4OTc5Nw==&amp;amp;amp;mid=2247503816&amp;amp;amp;idx=1&amp;amp;amp;sn=b0ae08a18c52c073c5b068dbd28c3a74&amp;amp;amp;chksm=ea94fea2dde377b43503c1fdb4325ac1559fa8c2b0c6d650e3374d8865a7365aa823a0b16c12&amp;amp;amp;scene=21#wechat\_redirect](http://https//mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&amp;amp;mid=2247503816&amp;amp;idx=1&amp;amp;sn=b0ae08a18c52c073c5b068dbd28c3a74&amp;amp;chksm=ea94fea2dde377b43503c1fdb4325ac1559fa8c2b0c6d650e3374d8865a7365aa823a0b16c12&amp;amp;scene=21#wechat_redirect) &amp;quot;手把手教你详细分析 Chrome 1day 漏洞 (CVE-2021-21224)&amp;quot;)  
\[Codecov后门事件验证分析\]([https://mp.weixin.qq.com/s?\_\_biz=MzI2NTg4OTc5Nw==&amp;amp;amp;mid=2247503674&amp;amp;amp;idx=2&amp;amp;amp;sn=b35c0a3d3d1ca1423065739374b05aeb&amp;amp;amp;chksm=ea94fe50dde377465a54d11a561b7f0c5914dc609e0f86bb14ee256c818ac1e1f1c84ae0e905&amp;amp;amp;scene=21#wechat\_redirect](https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&amp;amp;mid=2247503674&amp;amp;idx=2&amp;amp;sn=b35c0a3d3d1ca1423065739374b05aeb&amp;amp;chksm=ea94fe50dde377465a54d11a561b7f0c5914dc609e0f86bb14ee256c818ac1e1f1c84ae0e905&amp;amp;scene=21#wechat_redirect) &amp;quot;Codecov后门事件验证分析&amp;quot;)

发表于 2021-07-09 09:44:23
阅读 ( 5428 )
分类：漏洞分析

Windows PrintNightmare 漏洞 （CVE-2021-34527) 和补丁分析

0 条评论

Windows PrintNightmare 漏洞（CVE-2021-34527) 和补丁分析