【安全风险通告】Windows Print Spooler远程代码执行漏洞安全风险通告

奇安信CERT

致力于第一时间为企业级用户提供安全风险通告和有效解决方案。

近日，奇安信CERT监测到微软发布了Windows Print Spooler 服务远程代码执行漏洞（CVE-2021-34527）通告，Windows Print Spooler 服务在执行特权文件操作时，存在远程执行代码漏洞。经过身份认证的攻击者可通过调用RpcAddPrinterDriverEx函数获取系统System权限并执行任意代码或者添加具有完全权限的用户，微软在通告中声称已经检测到了在野利用。目前该漏洞的PoC和EXP均已公开，鉴于该漏洞危害极大，建议客户尽快修复漏洞并自查服务器的安全状况。

微软在通告中指出，该漏洞与6月份补丁日修复的CVE-2021-1675漏洞相似，但攻击向量不同。至于CVE-2021-1675，奇安信CERT已发布多次漏洞通告并附带产品解决方案，详情请翻阅奇安信CERT公众号。在6月28日，奇安信威胁情报中心红雨滴团队已通过技术手段开发出此漏洞利用EXP，并在Twitter上发布相关演示视频。

6月29日，此漏洞EXP被国内安全研究员在网络上公开并进一步扩散。经奇安信CERT与红雨滴团队联合测试，此EXP在某些系统的最新版本上依然可用，这或许与本次微软发布的CVE-2021-34527漏洞相关。我们测试了Windows Server 2019，发现CVE-2021-1675漏洞的本地利用已经不可用，而远程利用依然可用，似乎补丁在远程账户权限校验的过程中还存在问题，因而引发了CVE-2021-34527。以下为Windows Server 2019最新版本下的复现截图：

目前微软官方还未发布针对CVE-2021-34527漏洞的补丁程序，客户可采用处置建议中的手段暂时缓解此漏洞或采用奇安信产品解决方案来防护此漏洞（经确认，CVE-2021-1675漏洞的奇安信产品解决方案同样适用于此漏洞）。

据微软公告，漏洞代码存在于Windows所有版本中（参考以下列表），微软仍在确认受影响的版本。

Windows Server 2012 R2 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 (Server Core installation)

Windows Server 2012

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows RT 8.1

Windows 8.1 for x64-based systems

Windows 8.1 for 32-bit systems

Windows 7 for x64-based Systems Service Pack 1

Windows 7 for 32-bit Systems Service Pack 1

Windows Server 2016 (Server Core installation)

Windows Server 2016

Windows 10 Version 1607 for x64-based Systems

Windows 10 Version 1607 for 32-bit Systems

Windows 10 for x64-based Systems

Windows 10 for 32-bit Systems

Windows Server, version 20H2 (Server Core Installation)

Windows 10 Version 20H2 for ARM64-based Systems

Windows 10 Version 20H2 for 32-bit Systems

Windows 10 Version 20H2 for x64-based Systems

Windows Server, version 2004 (Server Core installation)

Windows 10 Version 2004 for x64-based Systems

Windows 10 Version 2004 for ARM64-based Systems

Windows 10 Version 2004 for 32-bit Systems

Windows 10 Version 21H1 for 32-bit Systems

Windows 10 Version 21H1 for ARM64-based Systems

Windows 10 Version 21H1 for x64-based Systems

Windows Server, version 1909 (Server Core installation)

Windows 10 Version 1909 for ARM64-based Systems

Windows 10 Version 1909 for x64-based Systems

Windows 10 Version 1909 for 32-bit Systems

Windows Server 2019 (Server Core installation)

Windows Server 2019

Windows 10 Version 1809 for ARM64-based Systems

Windows 10 Version 1809 for x64-based Systems

Windows 10 Version 1809 for 32-bit Systems

确定服务是否在运行

通过以下命令确定服务是否在运行（以域管理员身份运行powershell）

Get-Service -Name Spooler

如果 Print Spooler 正在运行或该服务未设置为禁用，可通过禁用 Print Spooler 服务或通过组策略禁用入站远程打印来缓解此漏洞。

方式一（禁用Print Spooler服务）：

如果该服务在运行则使用以下命令停止该服务（使用powershell）

Stop-Service -Name Spooler -Force

Set-Service -Name Spooler -StartupType Disabled

注：禁用后台打印程序服务的影响将禁用本地和远程打印功能。

方式二（通过组策略配置）：

Computer Configuration/Administrative Templates/Printers

禁用“允许后台打印程序接受客户端连接”策略以阻止远程攻击。

这个策略的将通过阻止入站远程打印操作来阻止远程攻击。该系统将不再作为打印服务器，但仍然可以在直接连接的设备上进行本地打印。

奇安信天眼产品解决方案

奇安信天眼新一代威胁感知系统在第一时间加入了该漏洞的检测规则，请将规则包升级到3.0.0630.12908上版本。规则名称：域内敏感操作-远程添加打印机驱动行为，规则ID：0x5dc1。奇安信天眼流量探针（传感器）升级方法：系统配置->设备升级->规则升级，选择“网络升级”或“本地升级”。

奇安信网神统一服务器安全管理平台更新入侵防御规则库

奇安信网神虚拟化安全轻代理版本将于7月1日发布入侵防御规则库2021.07.01版本，支持对Windows Print Spooler CVE-2021-1675 漏洞的防护，届时请用户联系技术支持人员获取规则升级包对轻代理版本进行升级。

奇安信网神统一服务器安全管理平台将于7月1日发布入侵防御规则库10384版本，支持对Windows Print Spooler CVE-2021-1675 漏洞的防护，届时请用户联系技术支持人员获取规则升级包对融合版本进行升级。

奇安信网神智慧防火墙产品防护方案

奇安信新一代智慧防火墙（NSG3000/5000/7000/9000系列）和下一代极速防火墙（NSG3500/5500/7500/9500系列）产品系列，已通过更新IPS特征库完成了对该漏洞的防护。建议用户尽快将IPS特征库升级至” 2106301900” 及以上版本并启用规则ID: 1248901进行检测。

奇安信网神网络数据传感器系统产品检测方案

奇安信网神网络数据传感器（NDS5000/7000/9000系列）产品，已具备该漏洞的检测能力。规则ID为：52249，建议用户尽快升级检测规则库至2106302000以后版本并启用该检测规则。

奇安信天擎终端安全管理系统防护方案

安装“天擎终端安全管理系统”的用户，选择连接“公有云安全鉴定中心”后可直接生效防护。

对于能够连接互联网的用户，请在“策略中心”->“终端策略”->”安全防护”中，将“文件安全鉴定模式”设置为“直接连接公有云安全鉴定中心”。

2021年7月3日，奇安信 CERT发布安全风险通告

点击阅读原文

到奇安信NOX-安全监测平台查询更多漏洞详情

奇安信CERT长期招募安全研究员

↓ ↓ ↓ 向下滑动图片了解更多↓ ↓ ↓