最新消息!亚信安全CERT监测发现微软发布Windows Print Spooler远程代码执行漏洞(CVE-2021-34527),等级为高危。该漏洞与CVE-2021-1675(2021年6月微软已发布相关安全更新)均为RpcAddPrinterDriverEx()函数所导致,虽然相似但并不相同。利用Windows打印服务新0Day(CVE-2021-34527)的攻击者能够以SYSTEM权限执行任意代码,对文件数据进行增删改查,还可以进行程序安装、配置修改等高危操作。
目前为止,微软官方尚未发布该漏洞补丁,该漏洞为0day状态。Mimikatz 2.2.0 20210701更新已集成该漏洞EXP,并武器化。亚信安全CERT建议用户根据自身情况判断,如果条件允许,尽量关闭该服务,等待微软官方发布相关修复补丁。
https://mp.weixin.qq.com/s/ayhqoGFo0mRLbud8cFGbTg
包含该漏洞的代码存在于所有版本的Windows中,目前微软正在调查是否所有版本都可以利用。
这是被公开称为PrintNightmare的漏洞吗?
是的,Microsoft已将此漏洞分配给CVE-2021-34527。
此漏洞是否与CVE-2021-1675相关?
此漏洞与分配为CVE-2021-1675的漏洞相似但不同,后者解决了RpcAddPrinterDriverEx()中的不同漏洞。攻击向量也不同。CVE-2021-1675已由2021年6月的安全更新解决。
2021年6月的更新是否引入了此漏洞?
不,该漏洞存在于2021年6月安全更新之前。Microsoft强烈建议安装2021年6月更新。
已知哪些特定角色会受到漏洞影响?
域控制器受到影响,我们仍在调查其他类型的角色是否也受到影响。
所有版本的Windows都列在安全更新表中,所有版本都可以利用吗?
包含该漏洞的代码存在于所有版本的Windows中。我们仍在调查是否所有版本都可以利用,当该信息很明显时,我们将更新此CVE。
为什么Microsoft没有为此漏洞分配CVSS分数?
我们仍在调查此问题,因此目前无法分配分数。
为什么未定义此漏洞的严重性?
我们还在调查中。我们将尽快提供这些信息。
关注官方发布的安全补丁
目前微软官方尚未该漏洞的安全补丁,后续可以持续关注补丁下载地址:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527
临时修复建议
确定Print Spooler服务是否正在运行(以域管理员身份运行)
如果Print Spooler正在运行或该服务未设置为禁用,请选择以下选项之一以禁用Print Spooler服务,或通过组策略禁用入站远程打印:
如果禁用Print Spooler服务适合您的企业,请使用以下PowerShell命令:禁用Print Spooler服务会禁用本地和远程打印功能。运行组策略编辑器(Win+R,输入gpedit.msc,打开组策略编辑器),依次浏览到:计算机配置/管理模板/打印机:禁用“允许打印后台处理程序接受客户端连接:”策略以阻止远程攻击。此策略将通过阻止入站远程打印操作来阻止远程攻击。该系统将不再用作打印服务器,但仍然可以本地打印到直接连接的设备。https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527https://mp.weixin.qq.com/s/ayhqoGFo0mRLbud8cFGbTghttps://github.com/gentilkiwi/mimikatz