近日，微软提前发布了 Windows Print Spooler 的远程代码执行漏洞（CVE-2021-34527）。当 Windows Print Spooler 服务不正确地执行特权文件操作时，存在远程代码执行漏洞。此漏洞与 CVE-2021-1675 漏洞相似但不同。Microsoft 强烈建议安装 2021 年 6 月更新，并对该漏洞做出相应修复。

漏洞描述

CVE-2021-34527

当 Windows Print Spooler 服务不正确地执行特权文件操作时，存在远程代码执行漏洞。成功利用此漏洞的攻击者可以使用 SYSTEM 权限运行任意代码。然后攻击者可以安装程序；查看、更改或删除数据；或创建具有完全用户权限的新帐户（攻击必须涉及经过身份验证的用户调用rpcaddprinterdriverex()，目前已知域控制器会受到影响）。

CVE 编号

CVE-2021-34527

影响范围

包含该漏洞的代码存在于所有版本的 Windows 中。微软官方仍在调查是否所有版本都可以利用。

修复建议

目前正式补丁尚未发布。

临时修复方法：以域管理员身份运行以下命令：Get-Service -Name Spooler（确定 Print Spooler 服务是否正在运行）

如果 Print Spooler 正在运行或该服务未设置为禁用，可选择以下选项之一以禁用 Print Spooler 服务，或通过组策略禁用入站远程打印：

选项一：禁用 Print Spooler 服务。

PowerShell 命令：

Stop-Service -Name Spooler -Force
Set-Service -Name Spooler -StartupType Disabled

（注：此选项禁用 Print Spooler 服务会禁用本地和远程打印功能。）

选项二：通过组策略禁用入站远程打印。

运行组策略编辑器（Win+R，输入gpedit.msc，打开组策略编辑器）依次浏览 计算机配置/管理模板/打印机：禁用 “允许打印后台处理程序接受客户端连接：” 策略以阻止远程攻击。
（注：此策略将通过阻止入站远程打印操作来阻止远程攻击。该系统将不再用作打印服务器，但仍然可以本地打印到直接连接的设备。）

参考

[1] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527

[2] https://mp.weixin.qq.com/s/FxqsUjR_JpTq7Sze3ApcjQ

白帽汇从事信息安全，专注于安全大数据、企业威胁情报。

公司产品：FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供：网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。