- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
威胁预警团队
2021/07/07
Print Spooler是打印后台处理服务,管理所有本地和网络打印队列及控制所有打印工作。近日,新华三攻防实验室威胁预警团队监测到微软官方提前披露了一个新的Windows Print Spooler远程代码执行漏洞(CVE-2021-34527),微软已检测到了该漏洞存在野利用,目前该漏洞的POC和EXP均已公开,同时mimikatz最新版本已经将其武器化并对外发布。
7月7日凌晨微软官方已经发布针对CVE-2021-34527漏洞的补丁程序,鉴于该漏洞危害极大,建议客户尽快自检并采取修复措施阻止此漏洞利用。
漏洞根源在于Windows Print Spooler服务不正确地执行特权文件操作时,存在远程执行代码漏洞,攻击者可以通过一个低权限用户对目标计算机进行攻击,成功利用此漏洞的攻击者可以使用 SYSTEM 权限运行任意代码。然后攻击者可以安装程序、查看、更改或删除数据或创建具有完全用户权限的新帐户。尤其是在域环境中,若攻击者在获取到普通域用户权限后可利用此漏洞攻击域控的Print Spooler服务,成功利用此漏洞可在域控制器中安装恶意驱动程序,从而完全控制整个域环境。
一、公开的EXP脚本复现:
二、mimikatz利用复现:
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows RT 8.1
Windows 8.1 for x64-based systems
Windows 8.1 for 32-bit systems
Windows 7 for x64-based Systems Service Pack 1
Windows 7 for 32-bit Systems Service Pack 1
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 for 32-bit Systems
Windows Server, version 20H2 (Server Core Installation)
Windows 10 Version 20H2 for ARM64-based Systems
Windows 10 Version 20H2 for 32-bit Systems
Windows 10 Version 20H2 for x64-based Systems
Windows Server, version 2004 (Server Core installation)
Windows 10 Version 2004 for x64-based Systems
Windows 10 Version 2004 for ARM64-based Systems
Windows 10 Version 2004 for 32-bit Systems
Windows 10 Version 21H1 for 32-bit Systems
Windows 10 Version 21H1 for ARM64-based Systems
Windows 10 Version 21H1 for x64-based Systems
Windows Server, version 1909 (Server Core installation)
Windows 10 Version 1909 for ARM64-based Systems
Windows 10 Version 1909 for x64-based Systems
Windows 10 Version 1909 for 32-bit Systems
Windows Server 2019 (Server Core installation)
Windows Server 2019
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
严重
目前Microsoft官方已发布多个Windows版本的补丁程序,访问链接下载对应平台的补丁:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527
鉴于微软对部分Windows操作系统版本还未提供补丁程序,用户可参考以下步骤缓解漏洞利用风险:
确定 Print Spooler 服务是否正在运行(以域管理员身份运行)
以域管理员身份运行以下命令:
Get-Service -Name Spooler
如果 Print Spooler 正在运行或该服务未设置为禁用,请选择以下选项之一以禁用 Print Spooler 服务,或通过组策略禁用入站远程打印:
选项 1 - 禁用 Print Spooler 服务
如果禁用 Print Spooler 服务适合您的企业,请使用以下 PowerShell 命令:
Stop-Service -Name Spooler -Force
Set-Service -Name Spooler -StartupType Disabled
缓解措施的影响:禁用 Print Spooler 服务会禁用本地和远程打印功能。
选项 2 - 通过组策略禁用入站远程打印
运行组策略编辑器(Win+R,输入gpedit.msc,打开组策略编辑器),依次浏览到:计算机配置/管理模板/打印机:
禁用“允许打印后台处理程序接受客户端连接:”策略以阻止远程攻击。
缓解措施的影响:此策略将通过阻止入站远程打印操作来阻止远程攻击。该系统将不再用作打印服务器,但仍然可以本地打印到直接连接的设备。
1、新华三安全设备防护方案
新华三IPS规则库将在1.0.138支持对该漏洞的识别,其余漏洞将会持续进行跟踪,新华三全系安全产品可通过升级IPS特征库识别利用该漏洞的攻击流量,并进行主动拦截。
2、新华三态势感知解决方案
新华三态势感知已支持对该漏洞的检测,通过信息搜集整合、数据关联分析等综合研判手段,发现网络中遭受该漏洞攻击及失陷的资产。
3、新华三云安全能力中心解决方案
新华三云安全能力中心知识库已更新该漏洞信息,可查询对应漏洞产生原理、升级补丁、修复措施等。
1、 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527
产品与解决方案
