风险通告
近日,奇安信CERT监测到微软紧急发布Windows Print Spooler远程代码执行漏洞(CVE-2021-36958)通告。该漏洞信息已公开披露,当Windows Print Spooler服务不正确地执行特权文件操作时,存在远程执行代码漏洞。成功利用此漏洞的攻击者可以使用 SYSTEM 权限运行任意代码。然后攻击者可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新帐户。目前,微软尚未发布针对此漏洞的补丁程序,鉴于此漏洞影响较大,建议客户尽快自查并采取处置建议中的措施以缓解此漏洞。
当前漏洞状态
细节是否公开 |
PoC状态 |
EXP状态 |
在野利用 |
是 |
未知 |
未知 |
未知 |
Microsoft Windows允许缺乏管理权限的用户安装打印机驱动程序,这些驱动程序通过Print Spooler服务以SYSTEM特权执行。虽然Windows强制驱动程序本身由受信任的来源签名,但Windows打印机驱动程序可以指定与设备特定队列关联的文件。这些文件可与强制执行数字签名的打印机驱动程序文件一起复制,不需要任何签名。此外,这些文件可用于覆盖在打印机驱动程序安装期间放置在系统上的任何签名验证文件。通过连接到恶意打印机,攻击者可在易受攻击的系统上以SYSTEM权限执行任意代码。
目前,微软尚未发布针对此漏洞的补丁程序,鉴于此漏洞影响较大,建议客户尽快自查并采取处置建议中的措施以缓解此漏洞。
在微软通告中暂未列出受影响的Windows版本,该漏洞目前处于0day状态。
确定服务是否在运行:
通过以下命令确定服务是否在运行(以域管理员身份运行 powershell)
Get-Service -Name Spooler
如果 Print Spooler 正在运行或该服务未设置为禁用,可通过禁用 Print
Spooler 服务来缓解此漏洞。
禁用 Print Spooler 服务:
如果该服务在运行则使用以下命令停止该服务(使用 powershell)
Stop-Service -Name Spooler -Force
Set-Service -Name Spooler -StartupType Disabled
注:禁用后台打印程序服务的影响将禁用本地和远程打印功能。
组策略配置仅允许从授权服务器安装打印机:
通过“指向并打印限制”配置组策略,防止非管理用户从未授权的服务器中安装打印驱动程序。
win+r输入gpedit.msc启动本地组策略编辑器,选择用户配置->管理模板->控制面板->打印机->指向并打印限制。配置如下图所示,启用指向并打印限制;勾选“用户只能指向并打印到这些服务器”,在服务器名称中输入受信服务器名称,若无受信服务器则可任意输入一个服务器名称来启用此策略。
2021年8月12日,奇安信 CERT发布安全风险通告
原文始发于微信公众号(奇安信 CERT):【安全风险通告】Windows Print Spooler 远程代码执行0day漏洞安全风险通告
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论