Windows Print Spooler远程代码执行漏洞风险通告,漏洞POC已公开,腾讯安全支持检测

2021-06-29 17:04:27
2021年6月8日,微软在6月的安全更新中通报并修复了一个Windows Print Spooler远程代码执行漏洞。6月29日,腾讯安全专家注意到该漏洞POC(概念验证代码)已在互联网公开,腾讯iOA已支持扫描修复该漏洞、腾讯御界支持检测是否存在黑客利用。

漏洞描述:

202168日,微软在6月的安全更新中通报并修复了一个Windows Print Spooler远程代码执行漏洞。6月29日,腾讯安全专家注意到该漏洞POC(概念验证代码)已在互联网公开。

 

Windows Print Spooler是Windows的打印机后台处理程序,广泛的应用于各种内网中,攻击者可以通过该漏洞绕过PfcAddPrinterDriver的安全验证,并在打印服务器中安装恶意驱动程序。若攻击者所控制的用户在域中,则攻击者可能连接到DC中的Spooler服务,并利用该漏洞在DC中安装恶意驱动程序,从而可能控制整个域环境。

 

该漏洞广泛存在于各个Windows版本中,利用复杂度为中,但由于成功利用该漏洞的攻击者可以完整的控制域环境,攻击可能造成的后果严重,所以该漏洞的利用价值极高。

 

2021629日,国外安全研究人员公开了Windows Print Spooler远程代码执行漏洞的POC(概念验证代码),意味着黑客利用该漏洞进行攻击已迫在眉睫。腾讯安全专家建议Windows 用户尽快升级修复该漏洞,避免沦为黑客攻击的牺牲品。

 

漏洞编号:CVE-2021-1675

 

漏洞等级:严重,CVSS评分7.8

 

受影响的版本:

影响Windows 7-Windows 10的各个版本

影响Windows Server 20042008201220162019等多个版本

 

漏洞修复建议:

1.腾讯安全专家建议受影响的用户尽快安装补丁,企业用户推荐使用腾讯零信任iOA检测修复,个人用户推荐使用腾讯电脑管家或Windows安全更新。

 

2.若用户暂时无法更新,可以通过禁用Print Spooler服务来缓解漏洞风险。

方法:开始,运行service.msc,在服务列表中找到Print Spooler服务。双击打开服务属性,将服务类型修改为“禁用”,并停止该服务。


腾讯安全解决方案:

1.腾讯T-Sec零信任无边界访问控制系统(iOA)已支持检测终端系统是否安装修复Windows Print Spooler远程代码执行漏洞补丁;

2.腾讯T-Sec高级威胁检测系统(御界)已支持检测是否存在利用Windows Print Spooler远程代码执行漏洞的攻击活动。

 


参考链接:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-1675



扫描以下二维码关注“腾讯安全威胁情报中心”公众号,掌握最新的网络安全威胁情报。


最新资讯