Windows Print Spooler 远程代码执行漏洞(CVE-2021-34527)风险提示

admin 2021年10月6日22:29:10评论144 views字数 2842阅读9分28秒阅读模式
Windows Print Spooler 远程代码执行漏洞(CVE-2021-34527)风险提示


漏洞公告

2021年7月1日,微软紧急发布Windows Print Spooler远程代码执行漏洞的安全通告,漏洞编号为:CVE-2021-34527。

官方安全通告链接:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527


根据公告,利用该漏洞,攻击者只需一个普通权限的用户,即可对目标网络中的Windows系统发起远程攻击,控制存在漏洞的域控制器、服务器和PC,从而控制整个网络。该漏洞广泛的存在于各个版本的Windows操作系统中,利用难度和复杂度低,危害极大。



影响范围

漏洞代码存在所有的Windows操作系统版本中,目前微软还在进一步调查该漏洞是否在所有版本的Windows操作系统能够成功利用。

已知受影响的操作系统列表:

Windows Server 2019 (Server Core installation)

Windows Server 2019

Windows Server 2016 (Server Core installation)

Windows Server 2016

Windows Server 2012 R2 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 (Server Core installation)

Windows Server 2012

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server, version 2004 (Server Core installation)

Windows RT 8.1

Windows 8.1 for x64-based systems

Windows 8.1 for 32-bit systems

Windows 7 for x64-based Systems Service Pack 1

Windows 7 for 32-bit Systems Service Pack 1

Windows 10 Version 1607 for x64-based Systems

Windows 10 Version 1607 for 32-bit Systems

Windows 10 for x64-based Systems

Windows 10 for 32-bit Systems

Windows 10 Version 20H2 for ARM64-based Systems

Windows 10 Version 20H2 for 32-bit Systems

Windows 10 Version 20H2 for x64-based Systems

Windows 10 Version 2004 for x64-based Systems

Windows 10 Version 2004 for ARM64-based Systems

Windows 10 Version 2004 for 32-bit Systems

Windows 10 Version 21H1 for 32-bit Systems

Windows 10 Version 21H1 for ARM64-based Systems

Windows 10 Version 21H1 for x64-based Systems

Windows 10 Version 1909 for ARM64-based Systems

Windows 10 Version 1909 for x64-based Systems

Windows 10 Version 1909 for 32-bit Systems

Windows 10 Version 1809 for ARM64-based Systems

Windows 10 Version 1809 for x64-based Systems

Windows 10 Version 1809 for 32-bit Systems




漏洞描述

Windows Print Spooler是打印后台处理服务,即管理所有本地和网络打印队列及控制所有打印工作。 

Microsoft Windows Print Spooler 服务未能限制对RpcAddPrinterDriverEx()函数的访问,该函数允许远程身份验证的攻击者以系统权限在易受攻击的系统上执行任意代码。该RpcAddPrinterDriverEx()函数用于安装打印机驱动程序。此函数的参数之一是DRIVER_CONTAINER对象,它包含有关添加的打印机将使用哪个驱动程序的信息。另一个参数,dwFileCopyFlags指定如何复制替换打印机驱动程序文件。攻击者可以利用任何经过身份验证的用户都可以调用RpcAddPrinterDriverEx()并指定位于远程服务器上的驱动程序文件。这会导致Print Spooler服务spoolsv.exe以SYSTEM权限执行任意DLL文件中的代码。


缓解措施

临时缓解措施:

1、确认Print Spooler Service是否正在运行(以域管理员身份运行)

以域管理员身份运行以下命令:

Get-Service -Name Spooler

2、如果Print Spooler Service正在运行或该服务未被禁用,请选择以下任一选项来禁用Print Spooler Service
  • 禁用Print Spooler Service,使用PowerShell执行以下命令:

    Stop-Service -Name Spooler -Force

    Set-Service -Name Spooler -StartupType Disabled

或如下图所示操作:

Windows Print Spooler 远程代码执行漏洞(CVE-2021-34527)风险提示

Windows Print Spooler 远程代码执行漏洞(CVE-2021-34527)风险提示

Windows Print Spooler 远程代码执行漏洞(CVE-2021-34527)风险提示

潜在的风险:禁用Print Spooler服务会使本地和远程的打印功能失效。

  • 通过组策略禁用入站远程打印服务

    你可以通过组策略进行配置,如下所示:

     计算机配置->管理模板->打印机禁用“允许Print Spooler接受客户端连接”策略来阻挡远程恶意攻击。

    或如下图所示操作:  

    命令行输入:“gpedit.msc”

Windows Print Spooler 远程代码执行漏洞(CVE-2021-34527)风险提示

潜在的风险:该策略将通过阻止入站的远程打印操作来阻止远程攻击的向量。系统将不再具有打印服务器的功能,但仍然可以向直接连接的设备进行本地打印。


安恒应急响应中心

2021年07月





本文始发于微信公众号(安恒信息应急响应中心):Windows Print Spooler 远程代码执行漏洞(CVE-2021-34527)风险提示

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年10月6日22:29:10
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Windows Print Spooler 远程代码执行漏洞(CVE-2021-34527)风险提示http://cn-sec.com/archives/412086.html

发表评论

匿名网友 填写信息