信息安全
安全预警
信息发布
安全教育
学校制度
标准规范
法律法规
安全预警
网站首页 · 信息安全 · 安全预警 · 正文
网络安全预警通报-第13期(2021.7.2)--Windows Print Spooler远程代码执行漏洞通告
作者:     来源:     发布时间:2021-07-02     文章点击数:

01 漏洞简述

2021年06月29日,监测发现安全研究人员在GitHub上公开了Windows Print Spooler远程代码执行漏洞的POC,漏洞编号为CVE-2021-1675,漏洞等级:严重,漏洞评分:7.8。

Windows Print Spooler是Windows的打印机后台处理程序,广泛地应用于各种内网中,攻击者可以通过该漏洞绕过PfcAddPrinterDriver的安全验证,并在打印服务器中安装恶意的驱动程序。若攻击者所控制的用户在域中,则攻击者可以连接到DC中的Spooler服务,并利用该漏洞在DC中安装恶意的驱动程序,完整的控制整个域环境。

该漏洞广泛地存在于各Windows版本中,利用复杂度为中,但由于成功利用该漏洞的攻击者可以完整的控制域环境,造成非常严重的后果,所以该漏洞的利用价值极高。

对此,建议广大用户及时将Windows升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。

02 风险等级

360CERT对该漏洞的评定结果如下

评定方式

等级

威胁等级   严重

影响面     广泛

攻击者价值 极高

利用难度    中

评分        7.8

03 漏洞详情

CVE-2021-1675: Windows Print Spooler远程代码执行漏洞

CVE: CVE-2021-1675

组件: Windows Server 2019,Windows Server 2016,Windows Server 2012,Windows Server 2008,Windows 10,Windows 8.1,Windows 7

漏洞类型:代码执行

影响:获得域管理权限

简述:该漏洞是由于发送RPC请求的SeLoadDriverPrivilege存在代码缺陷,用户可以通过可控的参数更改代码执行逻辑,绕过安全检测。经过验证的用户可以在打印机服务中安装恶意代码,造成代码执行的效果。

04 影响版本

* Windows Server 2019 (Server Core installation)

* Windows Server 2019

* Windows Server 2016 (Server Core installation)

* Windows Server 2016

* Windows Server 2012 R2 (Server Core installation)

* Windows Server 2012 R2

* Windows Server 2012 (Server Core installation)

* Windows Server 2012

* Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

* Windows Server 2008 R2 for x64-based Systems Service Pack 1

* Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

* Windows Server 2008 for x64-based Systems Service Pack 2

* Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

* Windows Server 2008 for 32-bit Systems Service Pack 2

* Windows Server, version 2004 (Server Core installation)

* Windows RT 8.1

* Windows 8.1 for x64-based systems

* Windows 8.1 for 32-bit systems

* Windows 7 for x64-based Systems Service Pack 1

* Windows 7 for 32-bit Systems Service Pack 1

* Windows 10 Version 1607 for x64-based Systems

* Windows 10 Version 1607 for 32-bit Systems

* Windows 10 for x64-based Systems

* Windows 10 for 32-bit Systems

* Windows Server, version 20H2 (Server Core Installation)

* Windows 10 Version 20H2 for ARM64-based Systems

* Windows 10 Version 20H2 for 32-bit Systems

* Windows 10 Version 20H2 for x64-based Systems

* Windows 10 Version 2004 for x64-based Systems

* Windows 10 Version 2004 for ARM64-based Systems

* Windows 10 Version 2004 for 32-bit Systems

* Windows 10 Version 21H1 for 32-bit Systems

* Windows 10 Version 21H1 for ARM64-based Systems

* Windows 10 Version 21H1 for x64-based Systems

* Windows 10 Version 1909 for ARM64-based Systems

* Windows 10 Version 1909 for x64-based Systems

* Windows 10 Version 1909 for 32-bit Systems

* Windows 10 Version 1809 for ARM64-based Systems

* Windows 10 Version 1809 for x64-based Systems

* Windows 10 Version 1809 for 32-bit Systems

05 修复建议

通用修补建议

目前微软官方已针对支持的系统版本发布了修复该漏洞的安全补丁,强烈建议受影响用户尽快安装补丁进行防护,官方下载链接:

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-1675

临时修补建议

若相关用户暂时无法进行补丁更新,可通过禁用Print Spooler服务来进行缓解:

1.在服务应用(services.msc)中找到Print Spooler服务。

2.停止运行服务,同时将“启动类型”修改为“禁用”。



地址:长江大学东八号教学楼附楼一层103室     邮编:434023

版权所有:长江大学 鄂ICP备05003301号

站点建设与维护:互联网与信息中心

快速入口