0x00 漏洞概述
|
CVE ID |
CVE-2021-34527 |
时 间 |
2021-07-08 |
|
类 型 |
RCE |
等 级 |
高危 |
|
远程利用 |
是 |
影响范围 |
|
|
攻击复杂度 |
低 |
可用性 |
高 |
|
用户交互 |
所需权限 |
||
|
PoC/EXP |
已公开 |
在野利用 |
是 |
0x01 漏洞详情
Windows Print Spooler是Windows的打印机后台处理程序,其管理所有本地和网络打印队列并控制所有打印工作,被广泛应用于本地和内网中。
2021年7月6日,Microsoft针对CVE-2021-34527发布了带外安全更新KB5004945。但是建议不要安装Microsoft 7 月 6 日发布的补丁,因为它不仅不能防止漏洞,而且会修改“localspl.dll”文件,使得0Patch 的补丁不再有效。
安全研究人员表示,微软只修复了该漏洞的远程代码执行部分,但在启用"指向并打印限制"的Windows策略的情况下,恶意软件和攻击者仍然可以通过本地权限提升(LPE)来获得易受攻击系统的权限,并可以绕过补丁来实现远程代码执行。
但要绕过补丁并实现RCE和LPE,必须启用名为"指向并打印限制"的Windows策略,并将 "安装新连接的驱动程序时 "的设置配置为 "不显示警告或提升提示"(配置路径:组策略>计算机配置>管理模板>打印机>指向并打印限制)。
启用后,在注册表HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsNTPrintersPointAndPrint键下,"NoWarningNoElevationOnInstall"值将被设置为1。
该漏洞(CVE-2021-34527)是AddPrinterDriverEx()、RpcAddPrinterDriver()和RpcAsyncAddPrinterDriver()等用于安装本地或远程打印机驱动程序的Windows API函数中缺少ACL(访问控制列表)检查造成的。这些函数都是通过不同的Windows API使用,如下:
AddPrinterDriverEx (SDK)
RpcAddPrinterDriver (MS-RPRN)
RpcAsyncAddPrinterDriver (MS-PAR)
利用该漏洞可以绕过权限检查,将恶意DLL安装到C:WindowsSystem32spooldrivers文件夹中,然后通过漏洞加载为打印驱动,实现远程代码执行或本地权限提升。
0x02 历史回顾
2021年6月29日,安全研究人员在GitHub上公开了一个Windows Print Spooler远程代码执行0day漏洞(CVE-2021-34527)。
需要注意的是,该漏洞(CVE-2021-34527)与Microsoft 6月8日星期二补丁日中修复并于6月21日更新的一个EoP升级到RCE的漏洞(CVE-2021-1675)不是同一个漏洞。这两个漏洞相似但不同,攻击向量也不同。
目前该漏洞已经公开披露,并且已出现在野利用。当 Windows Print Spooler 服务不正确地执行特权文件操作时,存在远程执行代码漏洞。成功利用此漏洞的攻击者可以使用 SYSTEM 权限运行任意代码、安装程序、查看并更改或删除数据、或创建具有完全用户权限的新帐户,但攻击必须涉及调用 RpcAddPrinterDriverEx() 的经过身份验证的用户。
0x03 处置建议
第三方补丁服务团队0patch为 CVE-2021-34527发布了一个免费的微补丁,据表示该补丁能够阻止针对此漏洞利用。在微软发布最终更新之前,建议用户安装0Patch 的微补丁或禁用 Print Spooler 服务。
1.禁用 Print Spooler 服务(可选其一)。
使用以下 PowerShell 命令:
Stop-Service -Name Spooler -Force
Set-Service -Name Spooler-StartupType Disabled
2.通过组策略禁用入站远程打印(可选其一)
运行组策略编辑器(Win+R快捷键,输入gpedit.msc,打开组策略编辑器),依次进入:计算机配置>管理模板>打印机,禁用“允许打印后台处理程序接受客户端连接”策略以阻止远程攻击。
下载链接:
https://blog.0patch.com/2021/07/free-micropatches-for-printnightmare.html
0x04 参考链接
https://github.com/afwu/PrintNightmare
https://www.bleepingcomputer.com/news/microsoft/microsofts-incomplete-printnightmare-patch-fails-to-fix-vulnerability/
https://blog.0patch.com/2021/07/free-micropatches-for-printnightmare.html
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527
0x05 时间线
2021-07-01 Microsoft发布安全通告
2021-07-02 VSRC发布安全通告
2021-07-06 Microsoft发布安全更新
2021-07-08 VSRC更新安全通告
0x06 附录
CVSS评分标准官网:http://www.first.org/cvss/
本文始发于微信公众号(维他命安全):【通告更新】Windows Print Spooler远程代码执行漏洞(CVE-2021-34527)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论