近日，聯(lián)軟科技應急中心監測到安全研究人員在GitHub上公開(kāi)了CVE-2021-1675 Windows Print Spooler遠程代碼執行漏洞POC。

漏洞描述

Print Spooler是Windows系統打印后臺處理程序服務(wù)，用于處理后臺執行打印作業(yè)的相關(guān)任務(wù)。

●2021年6月8日，微軟官方發(fā)布安全補丁更新，其中修復了一處存在于 Windows Print Spooler的權限提升漏洞（CVE-2021-1675）。

●2021年6月21日，微軟官方發(fā)布安全補丁更新，其中修復了一處存在于 Windows Print Spooler 的遠程命令執行漏洞（CVE-2021-1675）。

●2021年6月29日，華為未然實(shí)驗室監測到安全研究人員在Github上公開(kāi)了漏洞利用分析代碼，作者刪除后依舊被fork廣泛傳播，并衍生出多種利用代碼，利用簡(jiǎn)單，影響廣泛。

漏洞成因分析

CVE-2021-1675漏洞是由于Windows Print Spooler打印機程序中存在權限繞過(guò)問(wèn)題，進(jìn)而導致遠程代碼執行。攻擊者通過(guò)該漏洞可以完成本地權限提升或者遠程代碼執行。由于SeLoadDriverPrivilege中存在鑒權缺陷，攻擊者可以實(shí)現遠程代碼執行，如果在域環(huán)境中，攻擊者可以利用域內已控制的普通用戶(hù)權限，通過(guò)RPC觸發(fā) RpcAddPrinterDrive 繞過(guò)安全檢查并在域控植入惡意驅動(dòng)程序，實(shí)現遠程代碼執行，從而控制整個(gè)域環(huán)境。

漏洞影響范圍

Windows Server 2019 (Server Core installation)

Windows Server 2019

Windows Server 2016 (Server Core installation)

Windows Server 2016

Windows Server 2012 R2 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 (Server Core installation)

Windows Server 2012

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server, version 2004 (Server Core installation)

Windows RT 8.1

Windows 8.1 for x64-based systems

Windows 8.1 for 32-bit systems

Windows 7 for x64-based Systems Service Pack 1

Windows 7 for 32-bit Systems Service Pack 1

Windows 10 Version 1607 for x64-based Systems

Windows 10 Version 1607 for 32-bit Systems

Windows 10 for x64-based Systems

Windows 10 for 32-bit Systems

Windows Server, version 20H2 (Server Core Installation)

Windows 10 Version 20H2 for ARM64-based Systems

Windows 10 Version 20H2 for 32-bit Systems

Windows 10 Version 20H2 for x64-based Systems

Windows 10 Version 2004 for x64-based Systems

Windows 10 Version 2004 for ARM64-based Systems

Windows 10 Version 2004 for 32-bit Systems

Windows 10 Version 21H1 for 32-bit Systems

Windows 10 Version 21H1 for ARM64-based Systems

Windows 10 Version 21H1 for x64-based Systems

Windows 10 Version 1909 for ARM64-based Systems

Windows 10 Version 1909 for x64-based Systems

Windows 10 Version 1909 for 32-bit Systems

Windows 10 Version 1809 for ARM64-based Systems

Windows 10 Version 1809 for x64-based Systems

Windows 10 Version 1809 for 32-bit Systems

修復方法

1. 及時(shí)更新Windows安全補丁。

目前微軟官方已經(jīng)針對該漏洞發(fā)布補丁，下載鏈接：

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-1675，及時(shí)更新補丁能有效的修復該漏洞。

2. 臨時(shí)防護措施、關(guān)閉打印機服務(wù)。

如果無(wú)法及時(shí)更新補丁，可以臨時(shí)關(guān)閉打印機服務(wù)，防護該漏洞。首先在系統服務(wù)應用中找到Print Spooler打印機服務(wù)，如下圖所示：

然后暫停打印機服務(wù)，如下圖所示：

總結

聯(lián)軟科技終端安全管理系統，提供補丁自動(dòng)下發(fā)批量安裝及終端服務(wù)啟動(dòng)管理等相關(guān)安全管理功能，可檢測、統計、分析終端補丁安裝率、服務(wù)啟動(dòng)狀態(tài)，極大地提升了終端安全管理的效率、并確保安全措施的有效性，提升安全管理質(zhì)量。