0day漏洞！Windows打印后台处理程序又“中招”

漏洞描述

最新消息！亚信安全CERT监测发现微软发布Windows Print Spooler远程代码执行漏洞（CVE-2021-34527），等级为高危。该漏洞与CVE-2021-1675（2021年6月微软已发布相关安全更新）均为RpcAddPrinterDriverEx()函数所导致，虽然相似但并不相同。利用Windows打印服务新0Day（CVE-2021-34527）的攻击者能够以SYSTEM权限执行任意代码，对文件数据进行增删改查，还可以进行程序安装、配置修改等高危操作。

目前为止，微软官方尚未发布该漏洞补丁，该漏洞为0day状态。Mimikatz 2.2.0 20210701更新已集成该漏洞EXP，并武器化。亚信安全CERT建议用户根据自身情况判断，如果条件允许，尽量关闭该服务，等待微软官方发布相关修复补丁。

CVE-2021-1675 漏洞相关地址：

https://mp.weixin.qq.com/s/ayhqoGFo0mRLbud8cFGbTg

漏洞编号：CVE-2021-34527     

漏洞等级：高危，CVSS评分 暂无

受影响的版本：

包含该漏洞的代码存在于所有版本的Windows中，目前微软正在调查是否所有版本都可以利用。

最新应对举措

• 亚信安全技术团队已于7月1日更新IDS规则库，版本号为：nsp$1000.060，增加对应规则（规则ID：103020725）通过远程添加Windows Spooler打印机驱动行为，实现权限提升。

• TDA产品更新最新规则库，则可以具备该漏洞的防护能力。

微软官方Q&A

这是被公开称为PrintNightmare的漏洞吗？

是的，Microsoft已将此漏洞分配给CVE-2021-34527。

此漏洞是否与CVE-2021-1675相关？

此漏洞与分配为CVE-2021-1675的漏洞相似但不同，后者解决了RpcAddPrinterDriverEx()中的不同漏洞。攻击向量也不同。CVE-2021-1675已由2021年6月的安全更新解决。

2021年6月的更新是否引入了此漏洞？

不，该漏洞存在于2021年6月安全更新之前。Microsoft强烈建议安装2021年6月更新。

已知哪些特定角色会受到漏洞影响？

域控制器受到影响，我们仍在调查其他类型的角色是否也受到影响。

所有版本的Windows都列在安全更新表中，所有版本都可以利用吗？

包含该漏洞的代码存在于所有版本的Windows中。我们仍在调查是否所有版本都可以利用，当该信息很明显时，我们将更新此CVE。

为什么Microsoft没有为此漏洞分配CVSS分数？

我们仍在调查此问题，因此目前无法分配分数。

为什么未定义此漏洞的严重性？

我们还在调查中。我们将尽快提供这些信息。

漏洞修复：

1. 关注官方发布的安全补丁

   目前微软官方尚未该漏洞的安全补丁，后续可以持续关注补丁下载地址：
   

   https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527

2. 临时修复建议

   确定Print Spooler服务是否正在运行（以域管理员身份运行）

• Get-Service -Name Spooler

选项1：禁用Print Spooler服务

• Stop-Service -Name Spooler -Force

• Set-Service -Name Spooler -StartupType Disabled

选项2：通过组策略禁用入站远程打印

了解亚信安全，请点击“阅读原文”