Windows Print Spooler(打印服务)远程代码执行漏洞风险通告，目前暂无补丁

微软发布CVE-2021-36958安全漏洞公告，当 Windows Print Spooler 服务不正确地执行特权文件操作时，存在远程执行代码漏洞。目前该漏洞暂无补丁，漏洞详情、POC（概念验证代码）已公开。

1

漏洞描述

8月11日，微软发布CVE-2021-36958安全漏洞公告，当 Windows Print Spooler 服务不正确地执行特权文件操作时，存在远程执行代码漏洞。成功利用此漏洞的攻击者可以使用 SYSTEM 权限运行任意代码。然后攻击者可以安装程序；查看、更改或删除数据；或创建具有完全用户权限的新帐户。

该漏洞影响较大，目前暂无补丁。漏洞细节、POC代码已在互联网上公开，这意味着该漏洞被黑灰产组织利用的可能性正在增加。腾讯安全专家建议受影响的用户参考微软官方建议，配置域安全策略，防止非管理用户从未授权的服务器中安装打印驱动程序。

停止并禁用 Print Spooler 服务，也可缓解风险，但禁用后台打印程序服务将会禁用本地和远程打印功能。

2

漏洞编号

CVE-2021-36958

3

漏洞等级

高危，CVSS评分7.3

4

受影响的版本

微软安全通告未列出具体受影响的版本，一般此类情况表示漏洞可能影响主流Windows系统。

该漏洞暂无补丁，处于0day状态。

5

漏洞复现验证

腾讯安全专家对该漏洞进行复现验证，证实漏洞利用可以获得System权限，危害严重。

6

漏洞缓解方案

确定 Print Spooler 服务是否正在运行：

在 Windows PowerShell 中运行以下命令：

Get-Service -Name Spooler

 

如果 Print Spooler 正在运行或未禁用该服务，请执行以下步骤：

 

停止并禁用 Print Spooler 服务

如果停止和禁用 Print Spooler 服务适合您的环境，请在 Windows PowerShell 中运行以下命令：

Stop-Service -Name Spooler -Force

Set-Service -Name Spooler -StartupTypeDisabled

 

停止和禁用 Print Spooler 服务会禁用本地和远程打印功能。

 

或通过组策略配置仅允许从授权服务器安装打印机：

 

通过“指向并打印限制”配置组策略，防止非管理用户从未授权的服务器中安装打印驱动程序。

 

win+r输入gpedit.msc，启动本地组策略编辑器，选择用户配置->管理模板->控制面板->打印机->指向并打印限制。

 

启用指向并打印限制；勾选“用户只能指向并打印到这些服务器”，在服务器名称中输入受信服务器名称，若无受信服务器则可任意输入一个服务器名称来启用此策略。

参考链接：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36958

关于腾讯安全威胁情报中心

腾讯安全威胁情报中心是一个涵盖全球多维数据的情报分析、威胁预警分析平台。依托顶尖安全专家团队支撑，帮助安全分析人员、安全运维人员快速、准确地对可疑威胁事件进行预警、处置和溯源分析。

长按二维码关注

腾讯安全威胁情报中心

本文始发于微信公众号（腾讯安全威胁情报中心）：Windows Print Spooler(打印服务)远程代码执行漏洞风险通告，目前暂无补丁