点击上方蓝字“Ots安全”一起玩耍
执行摘要
Microsoft 已发现并调查影响 Windows Print Spooler 的远程代码执行漏洞,并已将 CVE-2021-34527 分配给此漏洞。这是一个不断发展的情况,我们将在获得更多信息时更新 CVE。
当 Windows Print Spooler 服务不正确地执行特权文件操作时,存在远程执行代码漏洞。成功利用此漏洞的攻击者可以使用 SYSTEM 权限运行任意代码。然后攻击者可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新帐户。
攻击必须涉及调用 RpcAddPrinterDriverEx() 的经过身份验证的用户。
请确保您已应用 2021 年 6 月 8 日发布的安全更新,并参阅此 CVE 中的常见问题解答和解决方法部分,以了解有关如何帮助保护您的系统免受此漏洞影响的信息。
解决方法
确定 Print Spooler 服务是否正在运行(以域管理员身份运行)
以域管理员身份运行以下命令:
Get-Service -Name Spooler如果 Print Spooler 正在运行或该服务未设置为禁用,请选择以下选项之一以禁用 Print Spooler 服务,或通过组策略禁用入站远程打印:
选项 1 - 禁用 Print Spooler 服务
如果禁用 Print Spooler 服务适合您的企业,请使用以下 PowerShell 命令:
Stop-Service -Name Spooler -ForceSet-Service -Name Spooler -StartupType Disabled
变通办法的影响禁用 Print Spooler 服务会禁用本地和远程打印功能。
选项 2 - 通过组策略禁用入站远程打印
您还可以通过组策略配置设置,如下所示:
计算机配置/管理模板/打印机
禁用“允许打印后台处理程序接受客户端连接:”策略以阻止远程攻击。
变通办法的影响此策略将通过阻止入站远程打印操作来阻止远程攻击媒介。该系统将不再用作打印服务器,但仍然可以本地打印到直接连接的设备。
本文始发于微信公众号(Ots安全):【漏洞预警】Windows Print Spooler 远程代码执行漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论