0Day！Windows远程代码漏洞，攻击者可获取SYSTEM权限！

漏洞描述

亚信安全CERT监控到微软官方紧急发布了Windows Print Spooler远程代码执行漏洞(CVE-2021-36985)，漏洞详情：Windows Print Spooler服务在不正确处理特权文件时存在远程代码执行漏洞，该漏洞允许远程攻击者以SYSTEM权限执行任意代码，可安装程序，查看、修改和删除数据，创建具有完全用户权限的新账户。鉴于此漏洞危害较大，且漏洞处于0day状态，亚信安全CERT建议用户及时采取缓解措施。

漏洞编号

CVE-2021-36985

漏洞类型

远程代码执行

漏洞等级

高危，CVSS：7.3

受影响的版本

目前官方暂未公布受影响的版本，此漏洞处于0day状态

修复建议

目前官方暂未发布安全补丁，可采取禁用相关服务或仅允许授权服务器安装相关程序：

在PowerShell中执行以下命令查看Windows Print Spooler服务是否正在运行：

Get-Service -Name Spooler

如果该服务正在运行或没有被禁用，需采取后面的操作。

禁用该服务：

在PowerShell中执行以下命令：

Stop-Service -Name Spooler -Force

Set-Service -Name Spooler -StartupType Disabled

（此操作将影响本地或远程打印功能）

通过组策略配置仅允许授权服务器安装相关程序，参考链接：

https://docs.microsoft.com/en-us/troubleshoot/windows-server/printing/use-group-policy-to-control-ad-printer

参考链接

• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36958

• https://docs.microsoft.com/en-us/troubleshoot/windows-server/printing/use-group-policy-to-control-ad-printer