漏洞风险提示 | CVE-2021-1675 - Windows Print Spooler 远程命令执行漏洞

admin
admin
admin
140350
文章
117
评论
2021年6月29日13:29:50评论306 views字数 2387阅读7分57秒阅读模式
        长亭漏洞风险提示       


CVE-2021-1675 

Windows Print Spooler 

远程命令执行漏洞



Print Spooler 是 Windows 打印后台处理服务,即管理所有本地和网络打印队列及控制所有打印工作。


6月21日,微软官方发布安全补丁更新,其中修复了一处存在于 Windows Print Spooler 的远程命令执行漏洞,CVE编号为CVE-2021-1675。


629, GitHub 上公开了 Windows Print Spooler 远程代码执行漏洞的 POC


漏洞描述


由于 SeLoadDriverPrivilege 中鉴权存在代码缺陷,参数可以被攻击者控制,普通用户可以通过 RPC 触发 RpcAddPrinterDrive 绕过安全检查并写入恶意驱动程序。如果一个域中存在此漏洞,域中普通用户即可通过连接域控 Spooler 服务,向域控中添加恶意驱动,从而控制整个域环境。


影响范围


  • Windows 10 Version 1809 for 32-bit Systems

  • Windows Server 2012 R2 (Server Core installation)

  • Windows Server 2012 R2

  • Windows Server 2012 (Server Core installation)

  • Windows Server 2012

  • Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

  • Windows Server 2008 R2 for x64-based Systems Service Pack 1

  • Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

  • Windows Server 2008 for x64-based Systems Service Pack 2

  • Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

  • Windows Server 2008 for 32-bit Systems Service Pack 2

  • Windows RT 8.1

  • Windows 8.1 for x64-based systems

  • Windows 8.1 for 32-bit systems

  • Windows 7 for x64-based Systems Service Pack 1

  • Windows 7 for 32-bit Systems Service Pack 1

  • Windows Server 2016  (Server Core installation)

  • Windows Server 2016

  • Windows 10 Version 1607 for x64-based Systems

  • Windows 10 Version 1607 for 32-bit Systems

  • Windows 10 for x64-based Systems

  • Windows 10 for 32-bit Systems

  • Windows Server, version 20H2 (Server Core Installation)

  • Windows 10 Version 20H2 for ARM64-based Systems

  • Windows 10 Version 20H2 for 32-bit Systems

  • Windows 10 Version 20H2 for x64-based Systems

  • Windows Server, version 2004 (Server Core installation)

  • Windows 10 Version 2004 for x64-based Systems

  • Windows 10 Version 2004 for ARM64-based Systems

  • Windows 10 Version 2004 for 32-bit Systems

  • Windows 10 Version 21H1 for 32-bit Systems

  • Windows 10 Version 21H1 for ARM64-based Systems

  • Windows 10 Version 21H1 for x64-based Systems

  • Windows 10 Version 1909 for ARM64-based Systems

  • Windows 10 Version 1909 for x64-based Systems

  • Windows 10 Version 1909 for 32-bit Systems

  • Windows Server 2019  (Server Core installation)

  • Windows Server 2019

  • Windows 10 Version 1809 for ARM64-based Systems

  • Windows 10 Version 1809 for x64-based Systems


解决方案


更新官方补丁


目前微软官方已针对支持的系统版本发布了修复该漏洞的安全补丁,强烈建议受影响用户尽快安装补丁进行防护,官方下载链接:

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-1675


关闭Print Spooler服务


若相关用户暂时无法进行补丁更新,可通过禁用 Print Spooler 服务来进行缓解:


1、在服务应用(services.msc)中找到 Print Spooler 服务。


漏洞风险提示 | CVE-2021-1675 - Windows Print Spooler 远程命令执行漏洞


2、停止运行服务,同时将“启动类型”修改为“禁用”。


漏洞风险提示 | CVE-2021-1675 - Windows Print Spooler 远程命令执行漏洞


参考资料



  • https://github.com/afwu/PrintNightmare

  • https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-1675


漏洞风险提示 | CVE-2021-1675 - Windows Print Spooler 远程命令执行漏洞


漏洞风险提示 | CVE-2021-1675 - Windows Print Spooler 远程命令执行漏洞




本文始发于微信公众号(长亭安全课堂):漏洞风险提示 | CVE-2021-1675 - Windows Print Spooler 远程命令执行漏洞

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年6月29日13:29:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   漏洞风险提示 | CVE-2021-1675 - Windows Print Spooler 远程命令执行漏洞https://cn-sec.com/archives/409239.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息