金沙娱场城(8087·China)官网-BinG百科NO.1


打开微信“扫一扫”,开启安全数字世界之旅
截图或长按保存至相册,使用微信扫一扫
首页 > 关于8087金沙娱场城 > 企业新闻

新闻与活动

8087金沙娱场城最新资讯与活动。

0day漏洞!Windows打印后台处理程序又“中招”
发布时间 :2021年07月02日
类型 :勒索软件
分享:

漏洞描述

最新消息!8087金沙娱场城CERT监测发现微软发布Windows Print Spooler远程代码执行漏洞(CVE-2021-34527),等级为高危。该漏洞与CVE-2021-1675(2021年6月微软已发布相关安全更新)均为RpcAddPrinterDriverEx()函数所导致,虽然相似但并不相同。利用Windows打印服务新0Day(CVE-2021-34527)的攻击者能够以SYSTEM权限执行任意代码,对文件数据进行增删改查,还可以进行程序安装、配置修改等高危操作。


目前为止,微软官方尚未发布该漏洞补丁,该漏洞为0day状态。Mimikatz 2.2.0 20210701更新已集成该漏洞EXP,并武器化。8087金沙娱场城CERT建议用户根据自身情况判断,如果条件允许,尽量关闭该服务,等待微软官方发布相关修复补丁。


CVE-2021-1675 漏洞相关地址:

https://mp.weixin.qq.com/s/ayhqoGFo0mRLbud8cFGbTg


漏洞编号:CVE-2021-34527     

漏洞等级:高危,CVSS评分 暂无

受影响的版本:

包含该漏洞的代码存在于所有版本的Windows中,目前微软正在调查是否所有版本都可以利用。


最新应对举措


  • 8087金沙娱场城技术团队已于7月1日更新IDS规则库,版本号为:nsp$1000.060,增加对应规则(规则ID:103020725)通过远程添加Windows Spooler打印机驱动行为,实现权限提升。

  • TDA产品更新最新规则库,则可以具备该漏洞的防护能力。


微软官方Q&A


这是被公开称为PrintNightmare的漏洞吗?

是的,Microsoft已将此漏洞分配给CVE-2021-34527。


此漏洞是否与CVE-2021-1675相关?

此漏洞与分配为CVE-2021-1675的漏洞相似但不同,后者解决了RpcAddPrinterDriverEx()中的不同漏洞。攻击向量也不同。CVE-2021-1675已由2021年6月的安全更新解决。


2021年6月的更新是否引入了此漏洞?

不,该漏洞存在于2021年6月安全更新之前。Microsoft强烈建议安装2021年6月更新。


已知哪些特定角色会受到漏洞影响?

域控制器受到影响,我们仍在调查其他类型的角色是否也受到影响。


所有版本的Windows都列在安全更新表中,所有版本都可以利用吗?

包含该漏洞的代码存在于所有版本的Windows中。我们仍在调查是否所有版本都可以利用,当该信息很明显时,我们将更新此CVE。


为什么Microsoft没有为此漏洞分配CVSS分数?

我们仍在调查此问题,因此目前无法分配分数。


为什么未定义此漏洞的严重性?

我们还在调查中。我们将尽快提供这些信息。


漏洞修复:

  1. 关注官方发布的安全补丁

    目前微软官方尚未该漏洞的安全补丁,后续可以持续关注补丁下载地址:

    https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527

  2. 临时修复建议

    确定Print Spooler服务是否正在运行(以域管理员身份运行)


以域管理员身份运行以下命令:
  • Get-Service -Name Spooler


如果Print Spooler正在运行或该服务未设置为禁用,请选择以下选项之一以禁用Print Spooler服务,或通过组策略禁用入站远程打印:


选项1:禁用Print Spooler服务


如果禁用Print Spooler服务适合您的企业,请使用以下PowerShell命令:
  • Stop-Service -Name Spooler -Force

  • Set-Service -Name Spooler -StartupType Disabled

选项1方法影响:
禁用Print Spooler服务会禁用本地和远程打印功能。

选项2:通过组策略禁用入站远程打印

 
运行组策略编辑器(Win+R,输入gpedit.msc,打开组策略编辑器),依次浏览到:计算机配置/管理模板/打印机:
 
禁用“允许打印后台处理程序接受客户端连接:”策略以阻止远程攻击。
 
选项2方法影响:
此策略将通过阻止入站远程打印操作来阻止远程攻击。该系统将不再用作打印服务器,但仍然可以本地打印到直接连接的设备。
 
参考链接:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527
https://mp.weixin.qq.com/s/ayhqoGFo0mRLbud8cFGbTg
https://github.com/gentilkiwi/mimikatz 
分享到微信
X