微软发布CVE-2021-36958安全漏洞公告,当 Windows Print Spooler 服务不正确地执行特权文件操作时,存在远程执行代码漏洞。目前该漏洞暂无补丁,漏洞详情、POC(概念验证代码)已公开。
1
漏洞描述
8月11日,微软发布CVE-2021-36958安全漏洞公告,当 Windows Print Spooler 服务不正确地执行特权文件操作时,存在远程执行代码漏洞。成功利用此漏洞的攻击者可以使用 SYSTEM 权限运行任意代码。然后攻击者可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新帐户。
该漏洞影响较大,目前暂无补丁。漏洞细节、POC代码已在互联网上公开,这意味着该漏洞被黑灰产组织利用的可能性正在增加。腾讯安全专家建议受影响的用户参考微软官方建议,配置域安全策略,防止非管理用户从未授权的服务器中安装打印驱动程序。
停止并禁用 Print Spooler 服务,也可缓解风险,但禁用后台打印程序服务将会禁用本地和远程打印功能。
2
漏洞编号
CVE-2021-36958
3
漏洞等级
高危,CVSS评分7.3
4
受影响的版本
微软安全通告未列出具体受影响的版本,一般此类情况表示漏洞可能影响主流Windows系统。
该漏洞暂无补丁,处于0day状态。
5
漏洞复现验证
腾讯安全专家对该漏洞进行复现验证,证实漏洞利用可以获得System权限,危害严重。
6
漏洞缓解方案
确定 Print Spooler 服务是否正在运行:
在 Windows PowerShell 中运行以下命令:
Get-Service -Name Spooler
如果 Print Spooler 正在运行或未禁用该服务,请执行以下步骤:
停止并禁用 Print Spooler 服务
如果停止和禁用 Print Spooler 服务适合您的环境,请在 Windows PowerShell 中运行以下命令:
Stop-Service -Name Spooler -Force
Set-Service -Name Spooler -StartupTypeDisabled
停止和禁用 Print Spooler 服务会禁用本地和远程打印功能。
或通过组策略配置仅允许从授权服务器安装打印机:
通过“指向并打印限制”配置组策略,防止非管理用户从未授权的服务器中安装打印驱动程序。
win+r输入gpedit.msc,启动本地组策略编辑器,选择用户配置->管理模板->控制面板->打印机->指向并打印限制。
启用指向并打印限制;勾选“用户只能指向并打印到这些服务器”,在服务器名称中输入受信服务器名称,若无受信服务器则可任意输入一个服务器名称来启用此策略。
参考链接:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36958
关于腾讯安全威胁情报中心
腾讯安全威胁情报中心是一个涵盖全球多维数据的情报分析、威胁预警分析平台。依托顶尖安全专家团队支撑,帮助安全分析人员、安全运维人员快速、准确地对可疑威胁事件进行预警、处置和溯源分析。
长按二维码关注
腾讯安全威胁情报中心
