加入收藏 | English

河南省教育信息安全监测中心 Windows Print Spooler CVE-2021-1675 及 CVE-2021-34527 远程代码执行漏洞 预警

作者: 时间:2021-10-11 点击数:

Windows Print Spooler(CVE-2021-34527)(CVE2021-1675)远程代码执行漏洞预警

一、        事件描述

近日,网络安全威胁和漏洞信息共享平台发布漏洞预警,公布了微软 Windows Print Spooler 远程代码执行漏洞的风险公告,漏洞 CVE 编号:CVE2021-1675 CVE-2021-34527,根据公告,攻击者只需一个普通权限的用户, 即可对目标网络中的 Windows 系统发起远程攻击,控制存在漏洞的域控制器、 服务器和 PC,从而控制整个网络。该漏洞广泛的存在于各个版本的 Windows 操 作系统中,利用难度和复杂度低,危害极大。目前暂无相关补丁。

二、        安全暂时处置建议

请首先确定 Print Spooler 服务是否正在运行,如果 Print Spooler 正 在运行或该服务未设置为禁用,以下两个暂时性的解决方案可任选其一:

1、 对于未启用安全域管理的终端用户。建议禁用 Windows Print Spooler 服务,但这会导致打印服务不可用,建议需要打印时临时开启服务,用完禁止 该服务,等待漏洞补丁发布。具体操作:

“windows 管理工具->服务中,禁用“Print Spooler”或通过命令输 入:“services.msc”。如下图所示操作:

对于使用安全域管理,操作方式如下:

1)以域管理员身份运行以下命令: Get-Service -Name Spooler

2)如果 Print Spooler Service 正在运行或该服务未被禁用,请选择使用 PowerShell 执行以下任一选项来禁用 Print Spooler Service

Stop-Service -Name Spooler –Force

Set-Service -Name Spooler -StartupType Disabled

2、 通过组策略禁用入站远程打印来阻挡远程恶意攻击,但可支持本地打印 服务。具体配置方法如下: 在本地组策略编辑器中,选择计算机配置->管理模板->打印机禁用允许 Print Spooler 接受客户端连接或通过命令输入:“gpedit.msc”。如下图 所示操作。

Copyright© 2019 All Rights Reserved.郑州大学网络管理中心版权所有