澄清CVE-2021-34527 Windows打印后台处理程序漏洞的指南

2021年7月6日，微软发布了关于Windows打印后台处理程序漏洞的CVE-2021-34527。7月6日和7日发布了更新，修复了所有受支持Windows版本的该漏洞。我们鼓励客户尽快更新。

CVE-2021-34527 - Windows打印后台处理程序远程代码执行漏洞。

在带外发布（OOB）后，我们调查了有关安全更新有效性的声明以及围绕建议缓解措施的疑问。

我们的调查显示，OOB安全更新按设计工作，并有效对抗已知的打印机后台处理程序漏洞利用和其他公开报告，这些报告统称为PrintNightmare。我们调查的所有报告都依赖于将默认注册表设置（与Point and Print相关）更改为不安全的配置。

微软致力于尽快提供客户保护，随着我们对问题的理解不断深入，我们的指南已更新。我们建议客户立即执行以下步骤：

• 在所有情况下，应用CVE-2021-34527安全更新。该更新不会更改现有注册表设置。

• 应用安全更新后，查看CVE-2021-34527公告中记录的注册表设置。

• 如果记录的注册表键不存在，则无需进一步操作。

• 如果记录的注册表键存在，为了确保系统安全，您必须确认以下注册表键设置为0（零）或不存在：

  HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint

  • NoWarningNoElevationOnInstall = 0 (DWORD) 或未定义（默认设置）
  • UpdatePromptSettings = 0 (DWORD) 或未定义（默认设置）

有关更深入的指南，请参阅KB5005010：在应用2021年7月6日更新和CVE-2021-34527后限制新打印机驱动程序的安装。

如果我们的调查发现其他问题，我们将根据需要采取行动以帮助保护客户。

MSRC团队