【通告更新】Windows Print Spooler远程代码执行漏洞(CVE-2021-34527)

admin
admin
admin
140552
文章
117
评论
2021年11月23日08:40:02评论152 views字数 2331阅读7分46秒阅读模式

0x00 漏洞概述

CVE     ID

CVE-2021-34527

时      间

2021-07-08

类      型

RCE

等      级

高危

远程利用

影响范围

攻击复杂度

可用性

用户交互

所需权限

PoC/EXP

已公开

在野利用

 

0x01 漏洞详情


 

【通告更新】Windows Print Spooler远程代码执行漏洞(CVE-2021-34527)


Windows Print Spooler是Windows的打印机后台处理程序,其管理所有本地和网络打印队列并控制所有打印工作,被广泛应用于本地和内网中。

2021年7月6日,Microsoft针对CVE-2021-34527发布了带外安全更新KB5004945。但是建议不要安装Microsoft 7 月 6 日发布的补丁,因为它不仅不能防止漏洞,而且会修改“localspl.dll”文件,使得0Patch 的补丁不再有效。

安全研究人员表示,微软只修复了该漏洞的远程代码执行部分,但在启用"指向并打印限制"的Windows策略的情况下,恶意软件和攻击者仍然可以通过本地权限提升(LPE)来获得易受攻击系统的权限,并可以绕过补丁来实现远程代码执行。

但要绕过补丁并实现RCE和LPE,必须启用名为"指向并打印限制"的Windows策略,并将 "安装新连接的驱动程序时 "的设置配置为 "不显示警告或提升提示"(配置路径:组策略>计算机配置>管理模板>打印机>指向并打印限制)。

【通告更新】Windows Print Spooler远程代码执行漏洞(CVE-2021-34527)



启用后,在注册表HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsNTPrintersPointAndPrint键下,"NoWarningNoElevationOnInstall"值将被设置为1。

该漏洞(CVE-2021-34527)是AddPrinterDriverEx()、RpcAddPrinterDriver()和RpcAsyncAddPrinterDriver()等用于安装本地或远程打印机驱动程序的Windows API函数中缺少ACL(访问控制列表)检查造成的。这些函数都是通过不同的Windows API使用,如下:

AddPrinterDriverEx (SDK)

RpcAddPrinterDriver (MS-RPRN)

RpcAsyncAddPrinterDriver (MS-PAR)

利用该漏洞可以绕过权限检查,将恶意DLL安装到C:WindowsSystem32spooldrivers文件夹中,然后通过漏洞加载为打印驱动,实现远程代码执行或本地权限提升。

 

0x02 历史回顾

2021年6月29日,安全研究人员在GitHub上公开了一个Windows Print Spooler远程代码执行0day漏洞(CVE-2021-34527)。

需要注意的是,该漏洞(CVE-2021-34527)与Microsoft 6月8日星期二补丁日中修复并于6月21日更新的一个EoP升级到RCE的漏洞(CVE-2021-1675)不是同一个漏洞。这两个漏洞相似但不同,攻击向量也不同。

目前该漏洞已经公开披露,并且已出现在野利用。当 Windows Print Spooler 服务不正确地执行特权文件操作时,存在远程执行代码漏洞。成功利用此漏洞的攻击者可以使用 SYSTEM 权限运行任意代码、安装程序、查看并更改或删除数据、或创建具有完全用户权限的新帐户,但攻击必须涉及调用 RpcAddPrinterDriverEx() 的经过身份验证的用户。

 

0x03 处置建议

第三方补丁服务团队0patch为 CVE-2021-34527发布了一个免费的微补丁,据表示该补丁能够阻止针对此漏洞利用。在微软发布最终更新之前,建议用户安装0Patch 的微补丁或禁用 Print Spooler 服务。

 

1.禁用 Print Spooler 服务(可选其一)。

使用以下 PowerShell 命令:

Stop-Service -Name Spooler -Force

Set-Service -Name Spooler-StartupType Disabled

 

2.通过组策略禁用入站远程打印(可选其一)

运行组策略编辑器(Win+R快捷键,输入gpedit.msc,打开组策略编辑器),依次进入:计算机配置>管理模板>打印机,禁用“允许打印后台处理程序接受客户端连接”策略以阻止远程攻击。

 

下载链接:

https://blog.0patch.com/2021/07/free-micropatches-for-printnightmare.html

 

0x04 参考链接

https://github.com/afwu/PrintNightmare

https://www.bleepingcomputer.com/news/microsoft/microsofts-incomplete-printnightmare-patch-fails-to-fix-vulnerability/

https://blog.0patch.com/2021/07/free-micropatches-for-printnightmare.html

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527

 

0x05 时间线

2021-07-01    Microsoft发布安全通告

2021-07-02    VSRC发布安全通告

2021-07-06    Microsoft发布安全更新

2021-07-08    VSRC更新安全通告

 

0x06 附录

CVSS评分标准官网:http://www.first.org/cvss/


 

 


本文始发于微信公众号(维他命安全):【通告更新】Windows Print Spooler远程代码执行漏洞(CVE-2021-34527)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年11月23日08:40:02
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【通告更新】Windows Print Spooler远程代码执行漏洞(CVE-2021-34527)https://cn-sec.com/archives/414014.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息