近日,微软发布安全公告,更新了一则 Windows Print Spooler 远程代码执行漏洞。成功利用此漏洞的攻击者可以使用 SYSTEM 权限运行任意代码。该漏洞目前没有安全补丁。
漏洞描述
CVE-2021-36958
当 Windows Print Spooler 服务不正确地执行特权文件操作时,存在远程执行代码漏洞。成功利用此漏洞的攻击者可以使用 SYSTEM 权限运行任意代码。然后攻击者可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新帐户。
该漏洞 CVSS3评分:7.3 公开披露:是 可利用性:更容易被利用
CVE 编号
CVE-2021-36958影响范围
微软官方将在完成调查后更新受影响的 Windows版本。
修复建议
微软官方建议停止并禁用 Print Spooler 服务
确定 Print Spooler 服务是否正在运行:
在 Windows PowerShell 中运行以下命令:Get-Service -Name Spooler
如果 Print Spooler 正在运行或未禁用该服务,请执行以下步骤:如果停止和禁用 Print Spooler 服务适合您的环境,请在 Windows PowerShell 中运行以下命令:
Stop-Service -Name Spooler -Force
Set-Service -Name Spooler -StartupType Disabled注:由于停止和禁用 Print Spooler 服务会禁用本地和远程打印功能,因此安全研究人员建议最好使用“Package Point and print - Approved servers”组策略配置使用打印功能的白名单:
要启用此策略,请启动组策略编辑器 (gpedit.msc) 并导航到用户配置 > 管理模板 > 控制面板 > 打印机 > 程序包指向并打印 – 批准的服务器。然后启用该策略并输入您希望允许用作打印服务器的服务器列表。(注:使用此组策略将针对此漏洞提供最佳保护,但不会阻止威胁行为者使用恶意驱动程序接管允许的打印服务器。)
参考
[1] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36958
白帽汇从事信息安全,专注于安全大数据、企业威胁情报。
公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。
为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。