Windows Print Spooler（CVE-2021-34527）（CVE2021-1675）远程代码执行漏洞预警

一、        事件描述

近日，网络安全威胁和漏洞信息共享平台发布漏洞预警，公布了微软 Windows Print Spooler 远程代码执行漏洞的风险公告，漏洞 CVE 编号：CVE2021-1675 和 CVE-2021-34527，根据公告，攻击者只需一个普通权限的用户， 即可对目标网络中的 Windows 系统发起远程攻击，控制存在漏洞的域控制器、 服务器和 PC，从而控制整个网络。该漏洞广泛的存在于各个版本的 Windows 操 作系统中，利用难度和复杂度低，危害极大。目前暂无相关补丁。

二、        安全暂时处置建议

请首先确定 Print Spooler 服务是否正在运行，如果 Print Spooler 正 在运行或该服务未设置为禁用，以下两个暂时性的解决方案可任选其一：

1、 对于未启用安全域管理的终端用户。建议禁用 Windows Print Spooler 服务，但这会导致打印服务不可用，建议需要打印时临时开启服务，用完禁止 该服务，等待漏洞补丁发布。具体操作：

在“windows 管理工具->服务”中，禁用“Print Spooler”或通过命令输 入：“services.msc”。如下图所示操作：

对于使用安全域管理，操作方式如下：

1）以域管理员身份运行以下命令： Get-Service -Name Spooler

2）如果 Print Spooler Service 正在运行或该服务未被禁用，请选择使用 PowerShell 执行以下任一选项来禁用 Print Spooler Service。

Stop-Service -Name Spooler –Force 或

Set-Service -Name Spooler -StartupType Disabled

2、 通过组策略禁用入站远程打印来阻挡远程恶意攻击，但可支持本地打印 服务。具体配置方法如下： 在本地组策略编辑器中，选择“计算机配置->管理模板->打印机”禁用“允许 Print Spooler 接受客户端连接”或通过命令输入：“gpedit.msc”。如下图 所示操作。