近日,微软提前发布了 Windows Print Spooler 的远程代码执行漏洞(CVE-2021-34527)。当 Windows Print Spooler 服务不正确地执行特权文件操作时,存在远程代码执行漏洞。此漏洞与 CVE-2021-1675 漏洞相似但不同。Microsoft 强烈建议安装 2021 年 6 月更新,并对该漏洞做出相应修复。
漏洞描述
CVE-2021-34527
当 Windows Print Spooler 服务不正确地执行特权文件操作时,存在远程代码执行漏洞。成功利用此漏洞的攻击者可以使用 SYSTEM 权限运行任意代码。然后攻击者可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新帐户(攻击必须涉及经过身份验证的用户调用rpcaddprinterdriverex(),目前已知域控制器会受到影响)。
CVE 编号
CVE-2021-34527
影响范围
包含该漏洞的代码存在于所有版本的 Windows 中。微软官方仍在调查是否所有版本都可以利用。
修复建议
目前正式补丁尚未发布。
临时修复方法:以域管理员身份运行以下命令:Get-Service -Name Spooler
(确定 Print Spooler 服务是否正在运行)
如果 Print Spooler 正在运行或该服务未设置为禁用,可选择以下选项之一以禁用 Print Spooler 服务,或通过组策略禁用入站远程打印:
选项一:禁用 Print Spooler 服务。
PowerShell 命令:
Stop-Service -Name Spooler -Force
Set-Service -Name Spooler -StartupType Disabled
(注:此选项禁用 Print Spooler 服务会禁用本地和远程打印功能。)
选项二:通过组策略禁用入站远程打印。
运行组策略编辑器(Win+R,输入gpedit.msc,打开组策略编辑器)依次浏览 计算机配置/管理模板/打印机:禁用 “允许打印后台处理程序接受客户端连接:” 策略以阻止远程攻击。
(注:此策略将通过阻止入站远程打印操作来阻止远程攻击。该系统将不再用作打印服务器,但仍然可以本地打印到直接连接的设备。)
参考
[1] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527
[2] https://mp.weixin.qq.com/s/FxqsUjR_JpTq7Sze3ApcjQ
白帽汇从事信息安全,专注于安全大数据、企业威胁情报。
公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。
为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。