【安全风险通告】Windows Print Spooler 远程代码执行0day漏洞安全风险通告

admin 2022年4月13日22:59:48安全漏洞评论14 views1613字阅读5分22秒阅读模式
【安全风险通告】Windows Print Spooler 远程代码执行0day漏洞安全风险通告

奇安信CERT

致力于第一时间为企业级用户提供安全风险通告有效解决方案。




风险通告



近日,奇安信CERT监测到微软紧急发布Windows Print Spooler远程代码执行漏洞(CVE-2021-36958)通告。该漏洞信息已公开披露,当Windows Print Spooler服务不正确地执行特权文件操作时,存在远程执行代码漏洞。成功利用此漏洞的攻击者可以使用 SYSTEM 权限运行任意代码。然后攻击者可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新帐户。目前,微软尚未发布针对此漏洞的补丁程序,鉴于此漏洞影响较大,建议客户尽快自查并采取处置建议中的措施以缓解此漏洞。


当前漏洞状态



细节是否公开

PoC状态

EXP状态

在野利用

未知

未知

未知




漏洞描述

近日,奇安信CERT监测到微软紧急发布Windows Print Spooler远程代码执行漏洞(CVE-2021-36958)通告。该漏洞信息已公开披露,当Windows Print Spooler服务不正确地执行特权文件操作时,存在远程执行代码漏洞。成功利用此漏洞的攻击者可以使用SYSTEM权限运行任意代码。然后攻击者可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新帐户。

Microsoft Windows允许缺乏管理权限的用户安装打印机驱动程序,这些驱动程序通过Print Spooler服务以SYSTEM特权执行。虽然Windows强制驱动程序本身由受信任的来源签名,但Windows打印机驱动程序可以指定与设备特定队列关联的文件。这些文件可与强制执行数字签名的打印机驱动程序文件一起复制,不需要任何签名。此外,这些文件可用于覆盖在打印机驱动程序安装期间放置在系统上的任何签名验证文件。通过连接到恶意打印机,攻击者可在易受攻击的系统上以SYSTEM权限执行任意代码。


目前,微软尚未发布针对此漏洞的补丁程序,鉴于此漏洞影响较大,建议客户尽快自查并采取处置建议中的措施以缓解此漏洞。



风险等级

奇安信 CERT风险评级为:高危
风险等级:蓝色(一般事件)



影响范围

在微软通告中暂未列出受影响的Windows版本,该漏洞目前处于0day状态。



处置建议

目前微软暂未发布相关的补丁程序,可采取以下措施缓解此漏洞。


确定服务是否在运行:

通过以下命令确定服务是否在运行(以域管理员身份运行 powershell)

Get-Service -Name Spooler

如果 Print Spooler 正在运行或该服务未设置为禁用,可通过禁用 Print

Spooler 服务来缓解此漏洞。


禁用 Print Spooler 服务:

如果该服务在运行则使用以下命令停止该服务(使用 powershell)

Stop-Service -Name Spooler -Force

Set-Service -Name Spooler -StartupType Disabled

注:禁用后台打印程序服务的影响将禁用本地和远程打印功能。 


组策略配置仅允许从授权服务器安装打印机:

通过“指向并打印限制”配置组策略,防止非管理用户从未授权的服务器中安装打印驱动程序。

win+r输入gpedit.msc启动本地组策略编辑器,选择用户配置->管理模板->控制面板->打印机->指向并打印限制。配置如下图所示,启用指向并打印限制;勾选“用户只能指向并打印到这些服务器”,在服务器名称中输入受信服务器名称,若无受信服务器则可任意输入一个服务器名称来启用此策略。

【安全风险通告】Windows Print Spooler 远程代码执行0day漏洞安全风险通告



参考资料

[1]https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36958


时间线

2021年8月12日,奇安信 CERT发布安全风险通告






【安全风险通告】Windows Print Spooler 远程代码执行0day漏洞安全风险通告

奇安信CERT长期招募安全研究员

↓ ↓ ↓ 向下滑动图片了解更多↓ ↓ ↓


原文始发于微信公众号(奇安信 CERT):【安全风险通告】Windows Print Spooler 远程代码执行0day漏洞安全风险通告

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月13日22:59:48
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  【安全风险通告】Windows Print Spooler 远程代码执行0day漏洞安全风险通告 http://cn-sec.com/archives/881239.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: