发布时间:2021-08-13 17:43:28,来源:奇虎科技、奇安信、深信服、上海斗象
8月11日,微软发布的安全公告中,披露了一个新的Windows Print Spooler远程代码执行漏洞,漏洞CVE编号:CVE-2021-36958。攻击者可以利用该漏洞在目标打印机上以SYSTEM权限运行任意代码。目前该漏洞为零日状态,微软暂未发布修复补丁,但针对该漏洞给出临时缓解方法。建议广大用户及时通过临时防护方法缓解漏洞风险,并做好资产自查以及预防工作,以免遭受黑客攻击。
高危
Windows Print Spooler是Windows的打印机后台处理程序,广泛的应用于各种内网中。
当Windows Print Spooler服务不正确地执行特权文件操作时,存在远程代码执行漏洞。成功利用该漏洞的攻击者可以使用SYSTEM权限运行任意代码。然后攻击者可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新账户。
在微软通告中暂未列出影响的Windows版本,目前正在调查确认中。
目前微软暂未发布修复补丁,建议通过停止并禁用Print Spooler服务暂时缓解漏洞影响,但此方法将会影响本地和远程打印功能的使用。
临时缓解方法:
1. 检查Print Spooler服务是否在运行
在PowerShell中执行如下命令检查:
Get-Service -Name Spooler
如果Print Spooler正在运行或未禁用该服务,请执行以下步骤:
2. 停止和禁用Print Spooler服务
在PowerShell中执行如下命令关闭和禁用print Spooler服务:
Stop-Service -Name Spooler -Force
Set-Service -Name Spooler -StartupType Disabled
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36958