Windows Print Spooler远程代码执行0 day漏洞(CVE-2021-34527)
发布时间 2021-07-020x00 漏洞概述
CVE ID | CVE-2021-34527 | 时 间 | 2021-07-02 |
类 型 | RCE | 等 级 | 高危 |
远程利用 | 是 | 影响范围 | 所有Windows版本 |
攻击复杂度 | 低 | 可用性 | 高 |
用户交互 | 所需权限 | ||
PoC/EXP | 已公开 | 在野利用 | 是 |
0x01 漏洞详情
Windows Print Spooler是Windows的打印机后台处理程序,其管理所有本地和网络打印队列并控制所有打印工作,被广泛应用于本地和内网中。
2021年6月29日,安全研究人员在GitHub上公开了一个Windows Print Spooler远程代码执行0day漏洞(CVE-2021-34527)。
需要注意的是,该漏洞(CVE-2021-34527)与Microsoft 6月8日星期二补丁日中修复并于6月21日更新的一个EoP升级到RCE的漏洞(CVE-2021-1675)不是同一个漏洞。这两个漏洞相似但不同,攻击向量也不同。
目前该漏洞已经公开披露,并且已出现在野利用。当 Windows Print Spooler 服务不正确地执行特权文件操作时,存在远程执行代码漏洞。成功利用此漏洞的攻击者可以使用 SYSTEM 权限运行任意代码、安装程序、查看并更改或删除数据、或创建具有完全用户权限的新帐户,但攻击必须涉及调用 RpcAddPrinterDriverEx() 的经过身份验证的用户。
0x02 处置建议
目前该漏洞尚未修复。
建议停止并禁用Windows Print Spooler服务。
下载链接:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527
0x03 参考链接
https://github.com/afwu/PrintNightmare
https://www.bleepingcomputer.com/news/security/public-windows-printnightmare-0-day-exploit-allows-domain-takeover/
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527
0x04 时间线
2021-07-01 Microsoft发布安全通告
2021-07-02 VSRC发布安全通告
0x05 附录
CVSS评分标准官网:http://www.first.org/cvss/
京公网安备11010802024551号