登录

欢迎user新华三退出

国家 / 地区

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们
docurl=/cn/Products___Technology/Products/IP_Security/Security_Research/Home/Notice/Notice/202112/1519564_30003_0.htm

Windows Print Spooler远程代码执行漏洞安全通告(CVE-2021-36958)

【发布时间:2021-12-30】

新华三攻防实验室

2021/08/12


1. 漏洞综述

1.1 漏洞背景

Windows Print Spooler是打印后台处理服务,管理所有本地和网络打印队列及控制所有打印工作, 其进程名为spoolsv.exe。近日,新华三攻防实验室威胁预警团队监测到微软官方紧急发布一处Windows Print Spooler远程代码执行漏洞(CVE-2021-36958);利用Windows Print Spooler服务错误执行特权文件时,攻击者可成功利用该漏洞,从而到达在目标机器上进行安装程序,查看、更改或删除数据等操作。

1.2 漏洞原理

漏洞根源在于Windows Print Spooler未能正确地实施对特权文件的执行操作,以至于存在远程执行代码漏洞;漏洞攻击者可以使用SYSTEM权限执行任意代码,攻击者就可以在该目标机进行任意程序安装,可创建安全权限的新用户,可查看、更改以及删除数据等操作。

2. 影响范围

目前微软官方暂未公布受影响的Windows版本

3. 处置方法

3.1临时缓解方式

禁用Windows Print Spooler两种方式:

a、 利用域管理员运行PowerShell判断Windows Print Spooler服务是否运行: Get-Service -Name Spooler 如果该服务运行则进行禁止:

Stop-Service -Name Spooler –Force

Set-Service –Name Spooler –StarupType Disabled

b、 通过策略配置对Windows Print Spooler服务进行仅允许授权的服务器安装打印机:win+r输入gpedit.msc启动策略编译器,点击用户配置->管理模板->控制面板->打印机->指向并打印限制。配置如下图,勾选“用户只能指向并打印到这些服务器”并在服务器名称中选择可信任的服务器名称,若无可信服务器可随意输入服务器名称并单击“应用”来启用该策略。

4. 参考链接

1、 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36958

新华三官网
联系我们