风险通告
近日,奇安信CERT监测到微软紧急发布Windows Print Spooler远程代码执行漏洞(CVE-2021-36958)通告。该漏洞信息已公开披露,当Windows Print Spooler服务不正确地执行特权文件操作时,存在远程执行代码漏洞。成功利用此漏洞的攻击者可以使用 SYSTEM 权限运行任意代码。然后攻击者可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新帐户。奇安信CERT研判此漏洞为CVE-2021-34481 Windows Print Spooler权限提升漏洞的绕过,目前微软尚未发布针对此漏洞的补丁程序。鉴于此漏洞影响较大,建议客户尽快自查并采取处置建议中的措施以缓解此漏洞。
本次更新内容:
更新漏洞复现截图
新增产品解决方案
当前漏洞状态
|
细节是否公开 |
PoC状态 |
EXP状态 |
在野利用 |
|
是 |
未知 |
未知 |
未知 |
Microsoft Windows允许缺乏管理权限的用户安装打印机驱动程序,这些驱动程序通过Print Spooler服务以SYSTEM特权执行。虽然Windows强制驱动程序本身由受信任的来源签名,但Windows打印机驱动程序可以指定与设备特定队列关联的文件。这些文件可与强制执行数字签名的打印机驱动程序文件一起复制,不需要任何签名。此外,这些文件可用于覆盖在打印机驱动程序安装期间放置在系统上的任何签名验证文件。这可以允许LPESYSTEM在易受攻击的系统上运行。通过连接到恶意打印机,攻击者可在易受攻击的系统上以SYSTEM权限执行任意代码。
目前,微软尚未发布针对此漏洞的补丁程序。经研判此漏洞为CVE-2021-34481 Windows Print Spooler权限提升漏洞的绕过。奇安信红雨滴团队已在最新版本系统上复现此漏洞,复现截图如下:
在微软通告中暂未列出受影响的Windows版本,该漏洞目前处于0day状态。
确定服务是否在运行:
通过以下命令确定服务是否在运行(以域管理员身份运行 powershell)
Get-Service -Name Spooler
如果 Print Spooler 正在运行或该服务未设置为禁用,可通过禁用 Print
Spooler 服务来缓解此漏洞。
禁用 Print Spooler 服务:
如果该服务在运行则使用以下命令停止该服务(使用 powershell)
Stop-Service -Name Spooler -Force
Set-Service -Name Spooler -StartupType Disabled
注:禁用后台打印程序服务的影响将禁用本地和远程打印功能。
组策略配置仅允许从授权服务器安装打印机:
通过“指向并打印限制”配置组策略,防止非管理用户从未授权的服务器中安装打印驱动程序。
win+r输入gpedit.msc启动本地组策略编辑器,选择用户配置->管理模板->控制面板->打印机->指向并打印限制。配置如下图所示,启用指向并打印限制;勾选“用户只能指向并打印到这些服务器”,在服务器名称中输入受信服务器名称,若无受信服务器则可任意输入一个服务器名称来启用此策略。
奇安信网神智慧防火墙产品防护方案
奇安信新一代智慧防火墙(NSG3000/5000/7000/9000系列)和下一代极速防火墙(NSG3500/5500/7500/9500系列)产品系列,已通过更新IPS特征库完成了对该漏洞的防护。建议用户尽快将IPS特征库升级至” 2108121400” 及以上版本并启用规则ID: 1242501进行检测。
奇安信天眼产品解决方案
奇安信天眼新一代威胁感知系统在第一时间加入了该漏洞的检测规则,请将规则包升级到3.0.0812.12980上版本。规则名称:Windows Print Spooler 远程代码执行漏洞,规则ID:0x5dd6。奇安信天眼流量探针(传感器)升级方法:系统配置->设备升级->规则升级,选择“网络升级”或“本地升级”。
2021年8月12日,奇安信 CERT发布安全风险通告
2021年8月13日,奇安信 CERT发布安全风险通告第二次更新
本文始发于微信公众号(奇安信 CERT):【安全风险通告】Windows Print Spooler 远程代码执行0day漏洞安全风险通告第二次更新
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论