Windows 打印后台处理程序远程执行代码漏洞

admin

0
文章

0
评论

2023-11-25 01:18:37 Ali_highrisk 来源：ZONE.CI 全球网 0 阅读模式

严重 Windows 打印后台处理程序远程执行代码漏洞

CVE编号

CVE-2021-1675

利用情况

EXP 已公开

补丁情况

官方补丁

披露时间

2021-06-08

漏洞描述

Windows Print Spooler是Windows的打印机后台处理程序，广泛的应用于各种内网中。2021年6月，Window官方发布安全更新，其中修复了 CVE-2021-1675 Windows Print Spooler远程代码执行漏洞。2021年6月29日，安全研究人员在GitHub上公开了Windows Print Spooler远程代码执行漏洞POC。攻击者可以通过该漏洞绕过PfcAddPrinterDriver的安全验证，并在打印服务器中安装恶意的驱动程序，若攻击者所控制的用户在域中，则攻击者可以连接到DC中的Spooler服务，并利用该漏洞在DC中安装恶意的驱动程序，完整的控制整个域环境。阿里云云安全中心已于2021年6月8日发布漏洞检测与修复规则，阿里云应急响应中心提醒 Windows 用户尽快采取安全措施阻止漏洞攻击。

解决建议

1、及时更新Window补丁2、在服务应用（services.msc）中禁用 Print Spooler服务。

参考链接
http://packetstormsecurity.com/files/163349/Microsoft-PrintNightmare-Proof-Of...
http://packetstormsecurity.com/files/163351/PrintNightmare-Windows-Spooler-Se...
http://packetstormsecurity.com/files/167261/Print-Spooler-Remote-DLL-Injection.html
https://help.aliyun.com/noticelist/articleid/1060865797.html
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-1675
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2021-1675
https://www.kb.cert.org/vuls/id/383432

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	系统	microsoft	windows_10	-	-
	运行在以下环境
	系统	microsoft	windows_10	1607	-
	运行在以下环境
	系统	microsoft	windows_10	1809	-
	运行在以下环境
	系统	microsoft	windows_10	1909	-
	运行在以下环境
	系统	microsoft	windows_10	2004	-
	运行在以下环境
	系统	microsoft	windows_10	20h2	-
	运行在以下环境
	系统	microsoft	windows_10	21h1	-
	运行在以下环境
	系统	microsoft	windows_7	-	-
	运行在以下环境
	系统	microsoft	windows_8.1	-	-
	运行在以下环境
	系统	microsoft	windows_rt_8.1	-	-
	运行在以下环境
	系统	microsoft	windows_server_2008	-	-
	运行在以下环境
	系统	microsoft	windows_server_2008	r2	-
	运行在以下环境
	系统	microsoft	windows_server_2012	-	-
	运行在以下环境
	系统	microsoft	windows_server_2012	r2	-
	运行在以下环境
	系统	microsoft	windows_server_2016	-	-
	运行在以下环境
	系统	microsoft	windows_server_2019	-	-