2021年7月1日，微軟公司提早公布WindowsPrintSpooler遠(yuǎn)程控制程序運(yùn)行系統(tǒng)漏洞（CVE-2021-34527）。此系統(tǒng)漏洞與分派為CVE-2021-1675的系統(tǒng)漏洞類似但不一樣，后面一種解決了RpcAddPrinterDriverEx()里的不一樣系統(tǒng)漏洞。進(jìn)攻空間向量也不一樣。CVE-2021-1675已由2021年6月的安全補(bǔ)丁處理。

系統(tǒng)漏洞簡(jiǎn)述：

Microsoft已發(fā)覺并調(diào)研危害WindowsPrintSpooler的遠(yuǎn)程控制程序運(yùn)行系統(tǒng)漏洞，并已經(jīng)將CVE-2021-34527分派給此系統(tǒng)漏洞。

當(dāng)WindowsPrintSpooler服務(wù)項(xiàng)目有誤地實(shí)行權(quán)利文件操作時(shí)，存有遠(yuǎn)程控制執(zhí)行代碼系統(tǒng)漏洞風(fēng)險(xiǎn)性。取得成功運(yùn)用此系統(tǒng)漏洞的網(wǎng)絡(luò)攻擊可以用SYSTEM管理權(quán)限運(yùn)作隨意編碼。之后網(wǎng)絡(luò)攻擊能夠程序安裝；查詢、變更或刪除數(shù)據(jù)；或建立具備徹底用戶權(quán)限的新賬號(hào)。

進(jìn)攻務(wù)必涉及到啟用RpcAddPrinterDriverEx()的通過身份認(rèn)證的客戶。

系統(tǒng)漏洞級(jí)別：比較嚴(yán)重

系統(tǒng)漏洞序號(hào)：CVE-2021-34527

受影響的版本號(hào)：

包括該系統(tǒng)漏洞的編碼存在于全部版本號(hào)的Windows中，微軟公司仍在調(diào)研是不是全部版本號(hào)都能夠運(yùn)用。

漏洞檢測(cè)狀況：

現(xiàn)階段微軟公司公示表明，該系統(tǒng)漏洞已公布披露，疑是已監(jiān)測(cè)到引兵運(yùn)用，臨時(shí)系統(tǒng)漏洞POC（定義認(rèn)證編碼并未公布）

系統(tǒng)漏洞解決方案：

微軟中國得出了對(duì)于該系統(tǒng)漏洞的減輕方法，現(xiàn)階段宣布補(bǔ)丁包并未公布。

明確PrintSpooler服務(wù)項(xiàng)目是不是正在運(yùn)行（以域管理員身份運(yùn)作）

以域管理員身份運(yùn)作下列指令：

Get-Service-NameSpooler

假如PrintSpooler正在運(yùn)轉(zhuǎn)或該服務(wù)項(xiàng)目未設(shè)置為禁止使用，挑選下列選擇項(xiàng)之一以禁止使用PrintSpooler服務(wù)項(xiàng)目，或根據(jù)組策略禁止使用入站遠(yuǎn)程打?。?/p>

選擇項(xiàng)1-禁止使用PrintSpooler服務(wù)項(xiàng)目

假如禁止使用PrintSpooler服務(wù)項(xiàng)目合適您的公司，請(qǐng)使用下列PowerShell命令：

Stop-Service-NameSpooler-Force

Set-Service-NameSpooler-StartupTypeDisabled

禁止使用PrintSpooler服務(wù)項(xiàng)目會(huì)禁止使用當(dāng)?shù)睾瓦h(yuǎn)程打印作用。

選擇項(xiàng)2-根據(jù)組策略禁止使用入站遠(yuǎn)程打印

運(yùn)作組策略編輯器(Win R，鍵入gpedit.msc，開啟組策略編輯器），先后訪問到：電腦主機(jī)配置/管理模板/復(fù)印機(jī)

禁止使用“容許打印出后臺(tái)管理程序處理接納手機(jī)客戶端聯(lián)接：”對(duì)策以阻攔遠(yuǎn)程攻擊。

變通辦法的危害：

此對(duì)策將根據(jù)阻攔入站遠(yuǎn)程打印實(shí)際操作來阻攔遠(yuǎn)程攻擊。該系統(tǒng)軟件將不會(huì)再作為打印服務(wù)器，但仍然能夠當(dāng)?shù)卮蛴〕龅街苯舆B接的機(jī)器設(shè)備。

參照連接：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527

由來：https://weibo.com/ttarticle/p/show?id=2309404654499158687814百度安全新浪微博