Windows 打印服务0Day漏洞风险通告（CVE-2021-34527），请尽早防御

2021年7月1日，微软提前发布Windows Print Spooler 远程代码执行漏洞（CVE-2021-34527）。此漏洞与分配为 CVE-2021-1675 的漏洞相似但不同，后者解决了 RpcAddPrinterDriverEx() 中的不同漏洞。攻击向量也不同。CVE-2021-1675 已由 2021 年 6 月的安全更新解决。

漏洞概述：

Microsoft 已发现并调查影响 Windows Print Spooler 的远程代码执行漏洞，并已将 CVE-2021-34527 分配给此漏洞。

当 Windows Print Spooler 服务不正确地执行特权文件操作时，存在远程执行代码漏洞风险。成功利用此漏洞的攻击者可以使用 SYSTEM 权限运行任意代码。然后攻击者可以安装程序；查看、更改或删除数据；或创建具有完全用户权限的新帐户。

攻击必须涉及调用 RpcAddPrinterDriverEx() 的经过身份验证的用户。

漏洞等级：严重

漏洞编号：CVE-2021-34527

受影响的版本：

包含该漏洞的代码存在于所有版本的 Windows 中，微软仍在调查是否所有版本都可以利用。

漏洞利用情况：

目前微软公告显示，该漏洞已公开披露，疑似已检测到在野利用，暂时漏洞POC（概念验证代码尚未公开）

漏洞解决办法：

微软公司给出了针对该漏洞的缓解办法，目前正式补丁尚未发布。

确定 Print Spooler 服务是否正在运行（以域管理员身份运行）

以域管理员身份运行以下命令：

Get-Service -Name Spooler

如果 Print Spooler 正在运行或该服务未设置为禁用，请选择以下选项之一以禁用 Print Spooler 服务，或通过组策略禁用入站远程打印：

选项 1 - 禁用 Print Spooler 服务

如果禁用 Print Spooler 服务适合您的企业，请使用以下 PowerShell 命令：

Stop-Service -Name Spooler -Force

Set-Service -Name Spooler -StartupType Disabled

禁用 Print Spooler 服务会禁用本地和远程打印功能。

选项 2 - 通过组策略禁用入站远程打印

运行组策略编辑器(Win+R，输入gpedit.msc，打开组策略编辑器），依次浏览到：计算机配置/管理模板/打印机

禁用“允许打印后台处理程序接受客户端连接：”策略以阻止远程攻击。

变通办法的影响：

此策略将通过阻止入站远程打印操作来阻止远程攻击。该系统将不再用作打印服务器，但仍然可以本地打印到直接连接的设备。

参考链接：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527

免责声明：本站发布的内容（图片、视频和文字）以原创、转载和分享为主，文章观点不代表本网站立场，如果涉及侵权请联系站长邮箱：niceseo99@gmail.com进行举报，并提供相关证据，一经查实，将立刻删除涉嫌侵权内容。