近日，聯(lián)軟科技應(yīng)急中心監(jiān)測到安全研究人員在GitHub上公開了CVE-2021-1675 Windows Print Spooler遠(yuǎn)程代碼執(zhí)行漏洞POC。

漏洞描述

Print Spooler是Windows系統(tǒng)打印后臺(tái)處理程序服務(wù)，用于處理后臺(tái)執(zhí)行打印作業(yè)的相關(guān)任務(wù)。

●2021年6月8日，微軟官方發(fā)布安全補(bǔ)丁更新，其中修復(fù)了一處存在于 Windows Print Spooler的權(quán)限提升漏洞（CVE-2021-1675）。

●2021年6月21日，微軟官方發(fā)布安全補(bǔ)丁更新，其中修復(fù)了一處存在于 Windows Print Spooler 的遠(yuǎn)程命令執(zhí)行漏洞（CVE-2021-1675）。

●2021年6月29日，華為未然實(shí)驗(yàn)室監(jiān)測到安全研究人員在Github上公開了漏洞利用分析代碼，作者刪除后依舊被fork廣泛傳播，并衍生出多種利用代碼，利用簡單，影響廣泛。

漏洞成因分析

CVE-2021-1675漏洞是由于Windows Print Spooler打印機(jī)程序中存在權(quán)限繞過問題，進(jìn)而導(dǎo)致遠(yuǎn)程代碼執(zhí)行。攻擊者通過該漏洞可以完成本地權(quán)限提升或者遠(yuǎn)程代碼執(zhí)行。由于SeLoadDriverPrivilege中存在鑒權(quán)缺陷，攻擊者可以實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行，如果在域環(huán)境中，攻擊者可以利用域內(nèi)已控制的普通用戶權(quán)限，通過RPC觸發(fā) RpcAddPrinterDrive 繞過安全檢查并在域控植入惡意驅(qū)動(dòng)程序，實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行，從而控制整個(gè)域環(huán)境。

漏洞影響范圍

Windows Server 2019 (Server Core installation)

Windows Server 2019

Windows Server 2016 (Server Core installation)

Windows Server 2016

Windows Server 2012 R2 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 (Server Core installation)

Windows Server 2012

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server, version 2004 (Server Core installation)

Windows RT 8.1

Windows 8.1 for x64-based systems

Windows 8.1 for 32-bit systems

Windows 7 for x64-based Systems Service Pack 1

Windows 7 for 32-bit Systems Service Pack 1

Windows 10 Version 1607 for x64-based Systems

Windows 10 Version 1607 for 32-bit Systems

Windows 10 for x64-based Systems

Windows 10 for 32-bit Systems

Windows Server, version 20H2 (Server Core Installation)

Windows 10 Version 20H2 for ARM64-based Systems

Windows 10 Version 20H2 for 32-bit Systems

Windows 10 Version 20H2 for x64-based Systems

Windows 10 Version 2004 for x64-based Systems

Windows 10 Version 2004 for ARM64-based Systems

Windows 10 Version 2004 for 32-bit Systems

Windows 10 Version 21H1 for 32-bit Systems

Windows 10 Version 21H1 for ARM64-based Systems

Windows 10 Version 21H1 for x64-based Systems

Windows 10 Version 1909 for ARM64-based Systems

Windows 10 Version 1909 for x64-based Systems

Windows 10 Version 1909 for 32-bit Systems

Windows 10 Version 1809 for ARM64-based Systems

Windows 10 Version 1809 for x64-based Systems

Windows 10 Version 1809 for 32-bit Systems

修復(fù)方法

1. 及時(shí)更新Windows安全補(bǔ)丁。

目前微軟官方已經(jīng)針對(duì)該漏洞發(fā)布補(bǔ)丁，下載鏈接：

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-1675，及時(shí)更新補(bǔ)丁能有效的修復(fù)該漏洞。

2. 臨時(shí)防護(hù)措施、關(guān)閉打印機(jī)服務(wù)。

如果無法及時(shí)更新補(bǔ)丁，可以臨時(shí)關(guān)閉打印機(jī)服務(wù)，防護(hù)該漏洞。首先在系統(tǒng)服務(wù)應(yīng)用中找到Print Spooler打印機(jī)服務(wù)，如下圖所示：

然后暫停打印機(jī)服務(wù)，如下圖所示：

總結(jié)

聯(lián)軟科技終端安全管理系統(tǒng)，提供補(bǔ)丁自動(dòng)下發(fā)批量安裝及終端服務(wù)啟動(dòng)管理等相關(guān)安全管理功能，可檢測、統(tǒng)計(jì)、分析終端補(bǔ)丁安裝率、服務(wù)啟動(dòng)狀態(tài)，極大地提升了終端安全管理的效率、并確保安全措施的有效性，提升安全管理質(zhì)量。