2021年7月1日,微软提前发布Windows Print Spooler 远程代码执行漏洞(CVE-2021-34527)风险通告。7月7日凌晨(北京时间),微软安全公告更新,已提前发布CVE-2021-34527漏洞补丁。
腾讯安全专家建议Windows用户尽快升级安装,腾讯企业安全产品已支持对Windows Print Spooler 远程代码执行漏洞(CVE-2021-34527)的攻击利用进行检测防御。
Microsoft 已发现并调查影响 Windows Print Spooler 的远程代码执行漏洞,并已将 CVE-2021-34527 分配给此漏洞。该漏洞又被称为“PrintNightmare”的漏洞,PrintNightmare漏洞影响所有Windows版本中的Windows Print Spooler,包括安装在个人计算机、企业网络、Windows服务器和域控制器上的版本。
当 Windows Print Spooler 服务不正确地执行特权文件操作时,存在远程执行代码漏洞风险。成功利用此漏洞的攻击者可以使用 SYSTEM 权限运行任意代码。然后攻击者可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新帐户。
攻击必须涉及调用 RpcAddPrinterDriverEx() 的经过身份验证的用户。攻击者利用任意一个低权限的用户,渗透入目标网络,即可能利用此漏洞控制域控制器,因而危害特别严重。
腾讯安全已于上周发布安全风险通告提醒政企机构安全运维人员高度关注。作为暂时的缓解措施,非打印服务器可禁用 Windows Print Spooler 服务以降低风险,直至安装微软官方补丁。
CVE-2021-34527
高危,官方补丁已发布。
Windows Server 2019 (Server Core installation)
Windows Server 2019
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server, version 2004 (Server Core installation)
Windows RT 8.1
Windows 8.1 for x64-based systems
Windows 8.1 for 32-bit systems
Windows 7 for x64-based Systems Service Pack 1
Windows 7 for 32-bit Systems Service Pack 1
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 for 32-bit Systems
Windows Server, version 20H2 (Server Core Installation)
Windows 10 Version 20H2 for ARM64-based Systems
Windows 10 Version 20H2 for 32-bit Systems
Windows 10 Version 20H2 for x64-based Systems
Windows 10 Version 2004 for x64-based Systems
Windows 10 Version 2004 for ARM64-based Systems
Windows 10 Version 2004 for 32-bit Systems
Windows 10 Version 21H1 for 32-bit Systems
Windows 10 Version 21H1 for ARM64-based Systems
Windows 10 Version 21H1 for x64-based Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows 10 Version 1909 for x64-based Systems
Windows 10 Version 1909 for 32-bit Systems
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
微软公告显示,该漏洞已公开披露,漏洞POC(概念验证代码)、EXP均已出现,黑客组织随时可能利用该漏洞发起攻击。
微软公司已于2021年7月7日凌晨更新安全公告,发布补丁修复漏洞。腾讯安全专家建议企业用户通过腾讯零信任iOA,或Windows 更新扫描修复漏洞,个人用户可通过腾讯电脑管家或Windows 更新修复漏洞。
暂不能安装补丁的用户,仍可采用禁用服务的方式缓解漏洞风险:
确定 Print Spooler 服务是否正在运行(以域管理员身份运行)
以域管理员身份运行以下命令:
Get-Service -Name Spooler
如果 Print Spooler 正在运行或该服务未设置为禁用,请选择以下选项之一以禁用 Print Spooler 服务,或通过组策略禁用入站远程打印:
选项 1 - 禁用 Print Spooler 服务
如果禁用 Print Spooler 服务适合您的企业,请使用以下 PowerShell 命令:
Stop-Service -Name Spooler -Force
Set-Service -Name Spooler -StartupType Disabled
注:禁用 Print Spooler 服务会禁用本地和远程打印功能。
选项 2 - 通过组策略禁用入站远程打印
运行组策略编辑器(Win+R,输入gpedit.msc,打开组策略编辑器),依次浏览到:计算机配置/管理模板/打印机:
禁用“允许打印后台处理程序接受客户端连接:”策略以阻止远程攻击。
变通办法的影响:
此策略将通过阻止入站远程打印操作来阻止远程攻击。该系统将不再用作打印服务器,但仍然可以本地打印到直接连接的设备。
1.腾讯安全已同步升级补丁库,企业客户可通过腾讯零信任无边界访问控制系统(iOA)扫描修复漏洞,个人用户可通过腾讯电脑管家安装补丁,亦可通过微软安全更新修复终端或服务器存在的安全漏洞;
2.腾讯高级威胁检测系统(NTA,御界)已支持检测利用Windows Print Spooler 远程代码执行漏洞(CVE-2021-34527)的攻击活动。
参考链接:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527