漏洞描述
微软于北京时间7月7日发布了紧急更新修复Windows Print Spooler远程代码执行漏洞(CVE-2021-34527)。
Windows Print Spooler是Windows的打印机后台处理程序,广泛的应用于各种内网中。该漏洞源于Windows Print Spooler服务执行特权文件操作不当,攻击者可利用该漏洞以系统权限运行任意代码。攻击者可以安装程序,查看、修改或删除数据,或者创建拥有完全用户权限的新账户。攻击必须涉及调用 RpcAddPrinterDriverEx() 的经过身份验证的用户。
漏洞编号
CVE-2021-34527
漏洞危害
攻击者可利用该漏洞以系统权限运行任意代码。
漏洞等级
高危(漏洞利用工具已被公开)
受影响版本
微软已确认所有版本的 Windows 都包含易受攻击的代码并且容易受到攻击。
修复方案
微软已发布补丁修复漏洞,用户请尽快下载安装更新:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527
临时缓解漏洞风险可参考以下步骤:
首先,确定 Print Spooler 服务是否正在运行
运行以下命令:
Get-Service -Name Spooler
如果 Print Spooler正在运行或该服务未设置为禁用,请选择下列方案中的一个,禁用 Print Spooler 服务,或通过组策略禁用入站远程打印:
方案 1 - 禁用 Print Spooler 服务:
可使用以下 PowerShell 命令,禁用 Print Spooler 服务:
Stop-Service -Name Spooler -Force
Set-Service -Name Spooler -StartupType Disabled
注意:禁用 Print Spooler 服务会禁用本地和远程打印功能。
方案 2 - 通过组策略禁用入站远程打印:
运行组策略编辑器(Win+R,输入gpedit.msc,打开组策略编辑器),依次浏览到:计算机配置/管理模板/打印机:
禁用“允许打印后台处理程序接受客户端连接:”策略以阻止远程攻击。
该临时缓解措施的影响:
此策略将通过阻止入站远程打印操作来阻止远程攻击。该系统将不再用作打印服务器,但仍然可以本地打印到直接连接的设备。
参考链接
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527