【安全通报】Windows Print Spooler 打印服务远程代码执行漏洞(CVE-2021-34527)

fmbd  157天前

win20210702.png

近日,微软提前发布了 Windows Print Spooler 的远程代码执行漏洞(CVE-2021-34527)。当 Windows Print Spooler 服务不正确地执行特权文件操作时,存在远程代码执行漏洞。此漏洞与 CVE-2021-1675 漏洞相似但不同。Microsoft 强烈建议安装 2021 年 6 月更新,并对该漏洞做出相应修复。

漏洞描述

CVE-2021-34527

当 Windows Print Spooler 服务不正确地执行特权文件操作时,存在远程代码执行漏洞。成功利用此漏洞的攻击者可以使用 SYSTEM 权限运行任意代码。然后攻击者可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新帐户(攻击必须涉及经过身份验证的用户调用rpcaddprinterdriverex(),目前已知域控制器会受到影响)。

CVE 编号

CVE-2021-34527

影响范围

包含该漏洞的代码存在于所有版本的 Windows 中。微软官方仍在调查是否所有版本都可以利用。

修复建议

目前正式补丁尚未发布。

临时修复方法:以域管理员身份运行以下命令:Get-Service -Name Spooler(确定 Print Spooler 服务是否正在运行)

如果 Print Spooler 正在运行或该服务未设置为禁用,可选择以下选项之一以禁用 Print Spooler 服务,或通过组策略禁用入站远程打印:

选项一:禁用 Print Spooler 服务。

PowerShell 命令:

Stop-Service -Name Spooler -Force
Set-Service -Name Spooler -StartupType Disabled

(注:此选项禁用 Print Spooler 服务会禁用本地和远程打印功能。)

选项二:通过组策略禁用入站远程打印。

运行组策略编辑器(Win+R,输入gpedit.msc,打开组策略编辑器)依次浏览 计算机配置/管理模板/打印机:禁用 “允许打印后台处理程序接受客户端连接:” 策略以阻止远程攻击。
(注:此策略将通过阻止入站远程打印操作来阻止远程攻击。该系统将不再用作打印服务器,但仍然可以本地打印到直接连接的设备。)

参考

[1] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527

[2] https://mp.weixin.qq.com/s/FxqsUjR_JpTq7Sze3ApcjQ


白帽汇从事信息安全,专注于安全大数据、企业威胁情报。

公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。

最新评论

昵称
邮箱
提交评论