股票代码:688225
打开微信“扫一扫”,开启安全数字世界之旅
截图或长按保存至相册,使用微信扫一扫
0day漏洞!Windows打印后台处理程序又“中招”
发布时间 :2021年07月02日
类型 :勒索软件
分享:
漏洞描述
最新消息!威尼斯432888camCERT监测发现微软发布Windows Print Spooler远程代码执行漏洞(CVE-2021-34527),等级为高危。该漏洞与CVE-2021-1675(2021年6月微软已发布相关安全更新)均为RpcAddPrinterDriverEx()函数所导致,虽然相似但并不相同。利用Windows打印服务新0Day(CVE-2021-34527)的攻击者能够以SYSTEM权限执行任意代码,对文件数据进行增删改查,还可以进行程序安装、配置修改等高危操作。
目前为止,微软官方尚未发布该漏洞补丁,该漏洞为0day状态。Mimikatz 2.2.0 20210701更新已集成该漏洞EXP,并武器化。威尼斯432888camCERT建议用户根据自身情况判断,如果条件允许,尽量关闭该服务,等待微软官方发布相关修复补丁。
https://mp.weixin.qq.com/s/ayhqoGFo0mRLbud8cFGbTg
漏洞编号:CVE-2021-34527
漏洞等级:高危,CVSS评分 暂无
受影响的版本:
包含该漏洞的代码存在于所有版本的Windows中,目前微软正在调查是否所有版本都可以利用。
最新应对举措
微软官方Q&A
这是被公开称为PrintNightmare的漏洞吗?
是的,Microsoft已将此漏洞分配给CVE-2021-34527。
此漏洞是否与CVE-2021-1675相关?
此漏洞与分配为CVE-2021-1675的漏洞相似但不同,后者解决了RpcAddPrinterDriverEx()中的不同漏洞。攻击向量也不同。CVE-2021-1675已由2021年6月的安全更新解决。
2021年6月的更新是否引入了此漏洞?
不,该漏洞存在于2021年6月安全更新之前。Microsoft强烈建议安装2021年6月更新。
已知哪些特定角色会受到漏洞影响?
域控制器受到影响,威尼斯432888cam仍在调查其他类型的角色是否也受到影响。
所有版本的Windows都列在安全更新表中,所有版本都可以利用吗?
包含该漏洞的代码存在于所有版本的Windows中。威尼斯432888cam仍在调查是否所有版本都可以利用,当该信息很明显时,威尼斯432888cam将更新此CVE。
为什么Microsoft没有为此漏洞分配CVSS分数?
威尼斯432888cam仍在调查此问题,因此目前无法分配分数。
为什么未定义此漏洞的严重性?
威尼斯432888cam还在调查中。威尼斯432888cam将尽快提供这些信息。
漏洞修复:
关注官方发布的安全补丁
目前微软官方尚未该漏洞的安全补丁,后续可以持续关注补丁下载地址:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527
临时修复建议
确定Print Spooler服务是否正在运行(以域管理员身份运行)
Get-Service -Name Spooler
选项1:禁用Print Spooler服务
Stop-Service -Name Spooler -Force
Set-Service -Name Spooler -StartupType Disabled
选项2:通过组策略禁用入站远程打印
分享到微信
X