漏洞风险提示 | CVE-2021-1675 - Windows Print Spooler 远程命令执行漏洞

admin

102179
文章

87
评论

2021年6月29日13:29:50评论298 views字数 2387阅读7分57秒阅读模式

长亭漏洞风险提示

CVE-2021-1675

Windows Print Spooler

远程命令执行漏洞

Print Spooler 是 Windows 打印后台处理服务，即管理所有本地和网络打印队列及控制所有打印工作。

6月21日，微软官方发布安全补丁更新，其中修复了一处存在于 Windows Print Spooler 的远程命令执行漏洞，CVE编号为CVE-2021-1675。

6月29日, GitHub 上公开了 Windows Print Spooler 远程代码执行漏洞的 POC。

漏洞描述

由于 SeLoadDriverPrivilege 中鉴权存在代码缺陷，参数可以被攻击者控制，普通用户可以通过 RPC 触发 RpcAddPrinterDrive 绕过安全检查并写入恶意驱动程序。如果一个域中存在此漏洞，域中普通用户即可通过连接域控 Spooler 服务，向域控中添加恶意驱动，从而控制整个域环境。

影响范围

Windows 10 Version 1809 for 32-bit Systems
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows RT 8.1
Windows 8.1 for x64-based systems
Windows 8.1 for 32-bit systems
Windows 7 for x64-based Systems Service Pack 1
Windows 7 for 32-bit Systems Service Pack 1
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 for 32-bit Systems
Windows Server, version 20H2 (Server Core Installation)
Windows 10 Version 20H2 for ARM64-based Systems
Windows 10 Version 20H2 for 32-bit Systems
Windows 10 Version 20H2 for x64-based Systems
Windows Server, version 2004 (Server Core installation)
Windows 10 Version 2004 for x64-based Systems
Windows 10 Version 2004 for ARM64-based Systems
Windows 10 Version 2004 for 32-bit Systems
Windows 10 Version 21H1 for 32-bit Systems
Windows 10 Version 21H1 for ARM64-based Systems
Windows 10 Version 21H1 for x64-based Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows 10 Version 1909 for x64-based Systems
Windows 10 Version 1909 for 32-bit Systems
Windows Server 2019 (Server Core installation)
Windows Server 2019
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems

解决方案

更新官方补丁

目前微软官方已针对支持的系统版本发布了修复该漏洞的安全补丁，强烈建议受影响用户尽快安装补丁进行防护，官方下载链接：

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-1675

关闭Print Spooler服务

若相关用户暂时无法进行补丁更新，可通过禁用 Print Spooler 服务来进行缓解：

1、在服务应用（services.msc）中找到 Print Spooler 服务。

漏洞风险提示 | CVE-2021-1675 - Windows Print Spooler 远程命令执行漏洞

2、停止运行服务，同时将“启动类型”修改为“禁用”。

漏洞风险提示 | CVE-2021-1675 - Windows Print Spooler 远程命令执行漏洞

参考资料

https://github.com/afwu/PrintNightmare
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-1675

漏洞风险提示 | CVE-2021-1675 - Windows Print Spooler 远程命令执行漏洞

本文始发于微信公众号（长亭安全课堂）：漏洞风险提示 | CVE-2021-1675 - Windows Print Spooler 远程命令执行漏洞

左青龙
微信扫一扫

右白虎
微信扫一扫

漏洞风险提示 | CVE-2021-1675 - Windows Print Spooler 远程命令执行漏洞

更新官方补丁

关闭Print Spooler服务

某世界500强企业|存在通杀漏洞(0day)

CVE-2024-32409 POC

【Weblogic 文件上传漏洞（CVE-2019-2618）

Weblogic 任意文件读取漏洞（CVE-2019-2615)

用友U8 slbmbygr.jsp 存在sql注入

Couchdb垂直权限绕过(CVE-2017-12635)

Couchdb任意命令执行漏洞 (CVE-2017-12636)

CVE-2022-22947-spring-gateway RCE

Weblogic 反序列化漏洞（CVE-2019-2729）

JumpServer 任意文件读取漏洞（CVE-2023-42819）

发表评论

在线咨询

微信