当前位置:首页 > 漏洞预警 > 正文

Windows Print Spooler远程代码执行漏洞(CVE-2021-36958)预警

发布时间:2021-08-13 17:43:28,来源:奇虎科技、奇安信、深信服、上海斗象

      一、 基本情况

8月11日,微软发布的安全公告中,披露了一个新的Windows Print Spooler远程代码执行漏洞,漏洞CVE编号:CVE-2021-36958。攻击者可以利用该漏洞在目标打印机上以SYSTEM权限运行任意代码。目前该漏洞为零日状态,微软暂未发布修复补丁,但针对该漏洞给出临时缓解方法。建议广大用户及时通过临时防护方法缓解漏洞风险,并做好资产自查以及预防工作,以免遭受黑客攻击。

      二、 漏洞等级

高危

      三、 漏洞描述

Windows Print Spooler是Windows的打印机后台处理程序,广泛的应用于各种内网中。

当Windows Print Spooler服务不正确地执行特权文件操作时,存在远程代码执行漏洞。成功利用该漏洞的攻击者可以使用SYSTEM权限运行任意代码。然后攻击者可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新账户。

      四、 影响范围

在微软通告中暂未列出影响的Windows版本,目前正在调查确认中。

      五、 安全建议

目前微软暂未发布修复补丁,建议通过停止并禁用Print Spooler服务暂时缓解漏洞影响,但此方法将会影响本地和远程打印功能的使用。

临时缓解方法:

1. 检查Print Spooler服务是否在运行

在PowerShell中执行如下命令检查:

Get-Service -Name Spooler

如果Print Spooler正在运行或未禁用该服务,请执行以下步骤:

2. 停止和禁用Print Spooler服务

在PowerShell中执行如下命令关闭和禁用print Spooler服务:

Stop-Service -Name Spooler -Force

Set-Service -Name Spooler -StartupType Disabled

      六、 参考链接

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36958