【安全通报】微软更新 Windows Print Spooler 0day漏洞(CVE-2021-36958)

fmbd  1229天前

product20210812.png

近日,微软发布安全公告,更新了一则 Windows Print Spooler 远程代码执行漏洞。成功利用此漏洞的攻击者可以使用 SYSTEM 权限运行任意代码。该漏洞目前没有安全补丁。

漏洞描述

CVE-2021-36958

当 Windows Print Spooler 服务不正确地执行特权文件操作时,存在远程执行代码漏洞。成功利用此漏洞的攻击者可以使用 SYSTEM 权限运行任意代码。然后攻击者可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新帐户。

该漏洞 CVSS3评分:7.3   公开披露:是   可利用性:更容易被利用

CVE 编号

CVE-2021-36958

影响范围

微软官方将在完成调查后更新受影响的 Windows版本。

修复建议

微软官方建议停止并禁用 Print Spooler 服务

确定 Print Spooler 服务是否正在运行:
在 Windows PowerShell 中运行以下命令:Get-Service -Name Spooler

如果 Print Spooler 正在运行或未禁用该服务,请执行以下步骤:如果停止和禁用 Print Spooler 服务适合您的环境,请在 Windows PowerShell 中运行以下命令:

Stop-Service -Name Spooler -Force
Set-Service -Name Spooler -StartupType Disabled

注:由于停止和禁用 Print Spooler 服务会禁用本地和远程打印功能,因此安全研究人员建议最好使用“Package Point and print - Approved servers”组策略配置使用打印功能的白名单:

微信图片_20210812105626.png

要启用此策略,请启动组策略编辑器 (gpedit.msc) 并导航到用户配置 > 管理模板 > 控制面板 > 打印机 > 程序包指向并打印 – 批准的服务器。然后启用该策略并输入您希望允许用作打印服务器的服务器列表。(注:使用此组策略将针对此漏洞提供最佳保护,但不会阻止威胁行为者使用恶意驱动程序接管允许的打印服务器。)

参考

[1] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36958

[2] https://www.bleepingcomputer.com/news/microsoft/remote-print-server-gives-anyone-windows-admin-privileges-on-a-pc/


白帽汇从事信息安全,专注于安全大数据、企业威胁情报。

公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。

最新评论

昵称
邮箱
提交评论