您当前位置是: 首页 > 公告栏 > 通知公告 > 正文

关于Windows Print Spooler远程代码执行0day漏洞(CVE-2021-34527)的预警提示

阅读次数:     发布时间:2021-07-08

一、漏洞详情
        Windows Print Spooler是Windows的打印机后台处理程序,其管理所有本地和网络打印队列并控制所有打印工作,被广泛应用于本地和内网中。
        当Windows Print Spooler服务不正确地执行特权文件操作时,存在远程执行代码漏洞。成功利用此漏洞的攻击者可以使用SYSTEM权限运行任意代码、安装程序、查看并更改或删除数据、或创建具有完全用户权限的新帐户,但攻击必须涉及调用RpcAddPrinterDriverEx()的经过身份验证的用户。
        目前该漏洞暂无相关补丁,用户可暂时关闭域中的Print Spooler服务以避免攻击。
二、影响范围
        包含该漏洞的代码存在于所有版本的Windows中,微软仍在调查是否所有版本都可以利用。
三、修复建议
        微软公司给出了针对该漏洞的缓解办法,目前正式补丁尚未发布。
        确定Print Spooler服务是否正在运行(以域管理员身份运行)
        以域管理员身份运行以下命令:
        Get-Service -Name Spooler
        如果Print Spooler正在运行或该服务未设置为禁用,请选择以下选项之一以禁用Print Spooler服务,或通过组策略禁用入站远程打印:
        选项 1 - 禁用Print Spooler服务
        如果禁用Print Spooler服务适合您的企业,请使用以下PowerShell命令:
        Stop-Service-Name Spooler-Force
        Set-Service-Name Spooler-StartupType Disabled
        禁用Print Spooler服务会禁用本地和远程打印功能。
        选项 2 -通过组策略禁用入站远程打印
        运行组策略编辑器 (Win+R,输入gpedit.msc,打开组策略编辑器),依次浏览到:计算机配置/管理模板/打印机
        禁用"允许打印后台处理程序接受客户端连接:"策略以阻止远程攻击。
影响:
        此策略将通过阻止入站远程打印操作来阻止远程攻击。该系统将不再用作打印服务器,但仍然可以本地打印到直接连接的设备。
        参考链接:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527