8827太阳集团

首页 > 安全钻研 > 安全传递 > 安全公告

【公告更新】Windows Print Spooler远程代码执行缝隙（CVE-2021-34527）

颁布功夫 2021-07-08

0x00 缝隙概述

CVE ID	CVE-2021-34527	时间	2021-07-08
类型	RCE	等级	高危
远程利用	是	影响领域
攻击复杂度	低	可用性	高
用户交互		所需权限
PoC/EXP	已公开	在野利用	是

0x01 缝隙详情

Windows Print Spooler是Windows的打印机后盾处置法式，，，，，，其治理所有本地和网络打印队列并节造所有打印工作，，，，，，被宽泛利用于本地和内网中。。。。。

2021年7月6日，，，，，，Microsoft针对CVE-2021-34527颁布了带表安全更新KB5004945。。。。。但是建议不要装置Microsoft 7 月 6 日颁布的补丁，，，，，，由于它不仅不能预防缝隙，，，，，，并且会批改“localspl.dll”文件，，，，，，使得0Patch 的补丁不再有效。。。。。

安全钻研人员暗示，，，，，，微软只建复了该缝隙的远程代码执行部门，，，，，，但在启用"指向并打印限度"的Windows战术的情况下，，，，，，恶意软件和攻击者依然能够通过本地权限提升（LPE）来获得易受攻击系统的权限，，，，，，并能够绕过补丁来实现远程代码执行。。。。。

但要绕过补丁并实现RCE和LPE，，，，，，必须启用名为"指向并打印限度"的Windows战术，，，，，，并将 "装置新衔接的驱动法式时 "的设置配置为 "不显示忠告或提升提醒"（配置蹊径：组战术>推算机配置>治理模板>打印机>指向并打印限度）。。。。。

启用后，，，，，，在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint键下，，，，，，"NoWarningNoElevationOnInstall "值将被设置为1。。。。。

该缝隙（CVE-2021-34527）是AddPrinterDriverEx（）、RpcAddPrinterDriver（）和RpcAsyncAddPrinterDriver（）蹬酌于装置本地或远程打印机驱动法式的Windows API函数中短缺ACL（接见节造列表）查抄造成的。。。。。这些函数都是通过分歧的Windows API使用，，，，，，如下：

AddPrinterDriverEx (SDK)

RpcAddPrinterDriver (MS-RPRN)

RpcAsyncAddPrinterDriver (MS-PAR)

利用该缝隙能够绕过权限查抄，，，，，，将恶意DLL装置到C:\Windows\System32\spool\drivers文件夹中，，，，，，而后通过缝隙加载为打印驱动，，，，，，实现远程代码执行或本地权限提升。。。。。

0x02 汗青回首

2021年6月29日，，，，，，安全钻研人员在GitHub上公开了一个Windows Print Spooler远程代码执行0day缝隙（CVE-2021-34527）。。。。。

必要把稳的是，，，，，，该缝隙（CVE-2021-34527）与Microsoft 6月8日星期二补丁日中建复并于6月21日更新的一个EoP升级到RCE的缝隙（CVE-2021-1675）不是统一个缝隙。。。。。这两个缝隙类似但分歧，，，，，，攻击向量也分歧。。。。。

目前该缝隙已经公开披露，，，，，，并且已呈此刻野利用。。。。。当 Windows Print Spooler 服务不正确地执行特权文件操作时，，，，，，存在远程执行代码缝隙。。。。。成功利用此缝隙的攻击者能够使用 SYSTEM 权限运行肆意代码、装置法式、查看并更改或删除数据、或创建拥有齐全用户权限的新帐户，，，，，，但攻击必须涉及挪用 RpcAddPrinterDriverEx() 的经过身份验证的用户。。。。。

0x03 措置建议

第三方补丁服务团队0patch为 CVE-2021-34527颁布了一个免费的微补丁，，，，，，据暗示该补丁可能阻止针对此缝隙利用。。。。。在微软颁布最终更新之前，，，，，，建议用户装置 0Patch 的微补丁或禁用 Print Spooler 服务。。。。。

1.禁用 Print Spooler 服务（可选其一）。。。。。

使用以下 PowerShell 号令：

Stop-Service -Name Spooler -Force

Set-Service -Name Spooler -StartupType Disabled

2. 通过组战术禁用入站远程打�。。。。。ǹ裳∑湟唬�

运行组战术编纂器（Win+R快捷键，，，，，，输入gpedit.msc，，，，，，打开组战术编纂器），，，，，，顺次进入：推算机配置>治理模板>打印机，，，，，，禁用“允许打印后盾处置法式接受客户端衔接”战术以阻止远程攻击。。。。。

下载链接：

https://blog.0patch.com/2021/07/free-micropatches-for-printnightmare.html

0x04 参考链接

https://github.com/afwu/PrintNightmare

https://www.bleepingcomputer.com/news/microsoft/microsofts-incomplete-printnightmare-patch-fails-to-fix-vulnerability/

https://blog.0patch.com/2021/07/free-micropatches-for-printnightmare.html

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527

0x05 功夫线

2021-07-01 Microsoft颁布安全公告

2021-07-02 VSRC颁布安全公告

2021-07-06 Microsoft颁布安全更新

2021-07-08 VSRC更新安全公告

0x06 附录

CVSS评分尺度官网：http://www.first.org/cvss/

上一篇下一篇

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子

司法申明

Copyright ? 8827太阳集团版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】