欢迎user
新华三攻防实验室
2021/08/12
Windows Print Spooler是打印后台处理服务,管理所有本地和网络打印队列及控制所有打印工作, 其进程名为spoolsv.exe。近日,新华三攻防实验室威胁预警团队监测到微软官方紧急发布一处Windows Print Spooler远程代码执行漏洞(CVE-2021-36958);利用Windows Print Spooler服务错误执行特权文件时,攻击者可成功利用该漏洞,从而到达在目标机器上进行安装程序,查看、更改或删除数据等操作。
漏洞根源在于Windows Print Spooler未能正确地实施对特权文件的执行操作,以至于存在远程执行代码漏洞;漏洞攻击者可以使用SYSTEM权限执行任意代码,攻击者就可以在该目标机进行任意程序安装,可创建安全权限的新用户,可查看、更改以及删除数据等操作。
目前微软官方暂未公布受影响的Windows版本
禁用Windows Print Spooler两种方式:
a、 利用域管理员运行PowerShell判断Windows Print Spooler服务是否运行: Get-Service -Name Spooler 如果该服务运行则进行禁止:
Stop-Service -Name Spooler –Force
Set-Service –Name Spooler –StarupType Disabled
b、 通过策略配置对Windows Print Spooler服务进行仅允许授权的服务器安装打印机:win+r输入gpedit.msc启动策略编译器,点击用户配置->管理模板->控制面板->打印机->指向并打印限制。配置如下图,勾选“用户只能指向并打印到这些服务器”并在服务器名称中选择可信任的服务器名称,若无可信服务器可随意输入服务器名称并单击“应用”来启用该策略。
1、 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36958