近日，聯軟科技應急中心監測到安全研究人員在GitHub上公開了CVE-2021-1675 Windows Print Spooler遠程代碼執行漏洞POC。

漏洞描述

Print Spooler是Windows系統打印后臺處理程序服務，用于處理后臺執行打印作業的相關任務。

●2021年6月8日，微軟官方發布安全補丁更新，其中修復了一處存在于 Windows Print Spooler的權限提升漏洞（CVE-2021-1675）。

●2021年6月21日，微軟官方發布安全補丁更新，其中修復了一處存在于 Windows Print Spooler 的遠程命令執行漏洞（CVE-2021-1675）。

●2021年6月29日，華為未然實驗室監測到安全研究人員在Github上公開了漏洞利用分析代碼，作者刪除后依舊被fork廣泛傳播，并衍生出多種利用代碼，利用簡單，影響廣泛。

漏洞成因分析

CVE-2021-1675漏洞是由于Windows Print Spooler打印機程序中存在權限繞過問題，進而導致遠程代碼執行。攻擊者通過該漏洞可以完成本地權限提升或者遠程代碼執行。由于SeLoadDriverPrivilege中存在鑒權缺陷，攻擊者可以實現遠程代碼執行，如果在域環境中，攻擊者可以利用域內已控制的普通用戶權限，通過RPC觸發 RpcAddPrinterDrive 繞過安全檢查并在域控植入惡意驅動程序，實現遠程代碼執行，從而控制整個域環境。

漏洞影響范圍

Windows Server 2019 (Server Core installation)

Windows Server 2019

Windows Server 2016 (Server Core installation)

Windows Server 2016

Windows Server 2012 R2 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 (Server Core installation)

Windows Server 2012

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server, version 2004 (Server Core installation)

Windows RT 8.1

Windows 8.1 for x64-based systems

Windows 8.1 for 32-bit systems

Windows 7 for x64-based Systems Service Pack 1

Windows 7 for 32-bit Systems Service Pack 1

Windows 10 Version 1607 for x64-based Systems

Windows 10 Version 1607 for 32-bit Systems

Windows 10 for x64-based Systems

Windows 10 for 32-bit Systems

Windows Server, version 20H2 (Server Core Installation)

Windows 10 Version 20H2 for ARM64-based Systems

Windows 10 Version 20H2 for 32-bit Systems

Windows 10 Version 20H2 for x64-based Systems

Windows 10 Version 2004 for x64-based Systems

Windows 10 Version 2004 for ARM64-based Systems

Windows 10 Version 2004 for 32-bit Systems

Windows 10 Version 21H1 for 32-bit Systems

Windows 10 Version 21H1 for ARM64-based Systems

Windows 10 Version 21H1 for x64-based Systems

Windows 10 Version 1909 for ARM64-based Systems

Windows 10 Version 1909 for x64-based Systems

Windows 10 Version 1909 for 32-bit Systems

Windows 10 Version 1809 for ARM64-based Systems

Windows 10 Version 1809 for x64-based Systems

Windows 10 Version 1809 for 32-bit Systems

修復方法

1. 及時更新Windows安全補丁。

目前微軟官方已經針對該漏洞發布補丁，下載鏈接：

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-1675，及時更新補丁能有效的修復該漏洞。

2. 臨時防護措施、關閉打印機服務。

如果無法及時更新補丁，可以臨時關閉打印機服務，防護該漏洞。首先在系統服務應用中找到Print Spooler打印機服務，如下圖所示：

然后暫停打印機服務，如下圖所示：

總結

聯軟科技終端安全管理系統，提供補丁自動下發批量安裝及終端服務啟動管理等相關安全管理功能，可檢測、統計、分析終端補丁安裝率、服務啟動狀態，極大地提升了終端安全管理的效率、并確保安全措施的有效性，提升安全管理質量。