股票代码:688225
打开微信“扫一扫”,开启安(ān)全数字世界之旅
截图或長(cháng)按保存至相册,使用(yòng)微信扫一扫
0day漏洞!Windows打印后台处理(lǐ)程序又(yòu)“中(zhōng)招”
发布时间 :2021年07月02日
类型 :勒索软件
分(fēn)享:
漏洞描述
最新(xīn)消息!亚信安(ān)全CERT监测发现微软发布Windows Print Spooler遠(yuǎn)程代码执行漏洞(CVE-2021-34527),等级為(wèi)高危。该漏洞与CVE-2021-1675(2021年6月微软已发布相关安(ān)全更新(xīn))均為(wèi)RpcAddPrinterDriverEx()函数所导致,虽然相似但并不相同。利用(yòng)Windows打印服務(wù)新(xīn)0Day(CVE-2021-34527)的攻击者能(néng)够以SYSTEM权限执行任意代码,对文(wén)件数据进行增删改查,还可(kě)以进行程序安(ān)装(zhuāng)、配置修改等高危操作(zuò)。
目前為(wèi)止,微软官方尚未发布该漏洞补丁,该漏洞為(wèi)0day状态。Mimikatz 2.2.0 20210701更新(xīn)已集成该漏洞EXP,并武器化。亚信安(ān)全CERT建议用(yòng)户根据自身情况判断,如果条件允许,尽量关闭该服務(wù),等待微软官方发布相关修复补丁。
https://mp.weixin.qq.com/s/ayhqoGFo0mRLbud8cFGbTg
漏洞编号:CVE-2021-34527
漏洞等级:高危,CVSS评分(fēn) 暂无
受影响的版本:
包含该漏洞的代码存在于所有(yǒu)版本的Windows中(zhōng),目前微软正在调查是否所有(yǒu)版本都可(kě)以利用(yòng)。
最新(xīn)应对举措
微软官方Q&A
这是被公(gōng)开称為(wèi)PrintNightmare的漏洞吗?
是的,Microsoft已将此漏洞分(fēn)配给CVE-2021-34527。
此漏洞是否与CVE-2021-1675相关?
此漏洞与分(fēn)配為(wèi)CVE-2021-1675的漏洞相似但不同,后者解决了RpcAddPrinterDriverEx()中(zhōng)的不同漏洞。攻击向量也不同。CVE-2021-1675已由2021年6月的安(ān)全更新(xīn)解决。
2021年6月的更新(xīn)是否引入了此漏洞?
不,该漏洞存在于2021年6月安(ān)全更新(xīn)之前。Microsoft强烈建议安(ān)装(zhuāng)2021年6月更新(xīn)。
已知哪些特定角色会受到漏洞影响?
域控制器受到影响,我们仍在调查其他(tā)类型的角色是否也受到影响。
所有(yǒu)版本的Windows都列在安(ān)全更新(xīn)表中(zhōng),所有(yǒu)版本都可(kě)以利用(yòng)吗?
包含该漏洞的代码存在于所有(yǒu)版本的Windows中(zhōng)。我们仍在调查是否所有(yǒu)版本都可(kě)以利用(yòng),当该信息很(hěn)明显时,我们将更新(xīn)此CVE。
為(wèi)什么Microsoft没有(yǒu)為(wèi)此漏洞分(fēn)配CVSS分(fēn)数?
我们仍在调查此问题,因此目前无法分(fēn)配分(fēn)数。
為(wèi)什么未定义此漏洞的严重性?
我们还在调查中(zhōng)。我们将尽快提供这些信息。
漏洞修复:
关注官方发布的安(ān)全补丁
目前微软官方尚未该漏洞的安(ān)全补丁,后续可(kě)以持续关注补丁下载地址:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527
临时修复建议
确定Print Spooler服務(wù)是否正在运行(以域管理(lǐ)员身份运行)
Get-Service -Name Spooler
选项1:禁用(yòng)Print Spooler服務(wù)
Stop-Service -Name Spooler -Force
Set-Service -Name Spooler -StartupType Disabled
选项2:通过组策略禁用(yòng)入站遠(yuǎn)程打印
分(fēn)享到微信
X