【通告更新】Windows Print Spooler远程代码执行漏洞安全风险通告第三次更新

奇安信CERT

致力于第一时间为企业级用户提供安全风险通告和有效解决方案。

近日，奇安信CERT监测到GITHUB上有安全研究人员公布了Windows Print Spooler远程代码执行漏洞（CVE-2021-1675）POC，Windows Print Spooler是打印后台处理服务，即管理所有本地和网络打印队列及控制所有打印工作，Windows Print Spooler 存在权限提升漏洞，经过身份认证的攻击者可利用此漏洞使 Spooler 服务加载恶意 DLL，从而获取权限提升。

POC已扩散，EXP已公开，官方已有可更新版本，鉴于漏洞危害较大，建议用户及时安装更新补丁。

本次更新内容：

奇安信CERT已复现通过网络发起的提权攻击，复现截图更新于漏洞描述

新增奇安信天擎终端安全管理系统防护方案，详情请查阅产品解决方案

POC已扩散，EXP已公开，官方已有可更新版本，鉴于漏洞危害较大，建议用户及时安装更新补丁。

奇安信CERT已复现此漏洞，复现截图如下：

Windows Server 2012 R2 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 (Server Core installation)

Windows Server 2012

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows RT 8.1

Windows 8.1 for x64-based systems

Windows 8.1 for 32-bit systems

Windows 7 for x64-based Systems Service Pack 1

Windows 7 for 32-bit Systems Service Pack 1

Windows Server 2016 (Server Core installation)

Windows Server 2016

Windows 10 Version 1607 for x64-based Systems

Windows 10 Version 1607 for 32-bit Systems

Windows 10 for x64-based Systems

Windows 10 for 32-bit Systems

Windows Server, version 20H2 (Server Core Installation)

Windows 10 Version 20H2 for ARM64-based Systems

Windows 10 Version 20H2 for 32-bit Systems

Windows 10 Version 20H2 for x64-based Systems

Windows Server, version 2004 (Server Core installation)

Windows 10 Version 2004 for x64-based Systems

Windows 10 Version 2004 for ARM64-based Systems

Windows 10 Version 2004 for 32-bit Systems

Windows 10 Version 21H1 for 32-bit Systems

Windows 10 Version 21H1 for ARM64-based Systems

Windows 10 Version 21H1 for x64-based Systems

Windows 10 Version 1909 for ARM64-based Systems

Windows 10 Version 1909 for x64-based Systems

Windows 10 Version 1909 for 32-bit Systems

Windows Server 2019 (Server Core installation)

Windows Server 2019

Windows 10 Version 1809 for ARM64-based Systems

Windows 10 Version 1809 for x64-based Systems

Windows 10 Version 1809 for 32-bit Systems

链接地址：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-1675#securityUpdates

奇安信天眼产品解决方案

奇安信天眼新一代威胁感知系统在第一时间加入了该漏洞的检测规则，请将规则包升级到3.0.0630.12908上版本。规则名称：域内敏感操作-远程添加打印机驱动行为，规则ID：0x5dc1。奇安信天眼流量探针（传感器）升级方法：系统配置->设备升级->规则升级，选择“网络升级”或“本地升级”。

奇安信网神统一服务器安全管理平台更新入侵防御规则库

奇安信网神虚拟化安全轻代理版本将于7月1日发布入侵防御规则库2021.07.01版本，支持对Windows Print Spooler CVE-2021-1675 漏洞的防护，届时请用户联系技术支持人员获取规则升级包对轻代理版本进行升级。

奇安信网神统一服务器安全管理平台将于7月1日发布入侵防御规则库10384版本，支持对Windows Print Spooler CVE-2021-1675 漏洞的防护，届时请用户联系技术支持人员获取规则升级包对融合版本进行升级。

奇安信网神智慧防火墙产品防护方案

奇安信新一代智慧防火墙（NSG3000/5000/7000/9000系列）和下一代极速防火墙（NSG3500/5500/7500/9500系列）产品系列，已通过更新IPS特征库完成了对该漏洞的防护。建议用户尽快将IPS特征库升级至” 2106301900” 及以上版本并启用规则ID: 1248901进行检测。

奇安信网神网络数据传感器系统产品检测方案

奇安信网神网络数据传感器（NDS5000/7000/9000系列）产品，已具备该漏洞的检测能力。规则ID为：52249，建议用户尽快升级检测规则库至2106302000以后版本并启用该检测规则。

奇安信天擎终端安全管理系统防护方案

安装“天擎终端安全管理系统”的用户，选择连接“公有云安全鉴定中心”后可直接生效防护。

对于能够连接互联网的用户，请在“策略中心”->“终端策略”->”安全防护”中，将“文件安全鉴定模式”设置为“直接连接公有云安全鉴定中心”。

2021年6月29日，奇安信 CERT发布安全风险通告

2021年6月30日，奇安信 CERT发布安全风险通告第二次更新

2021年7月1日，奇安信 CERT发布安全风险通告第三次更新

点击阅读原文

到奇安信NOX-安全监测平台查询更多漏洞详情

奇安信CERT长期招募安全研究员

↓ ↓ ↓ 向下滑动图片了解更多↓ ↓ ↓