人生就是博

首页 > 清静研究 > 清静转达 > 清静通告

【通告更新】Windows Print Spooler远程代码执行误差（CVE-2021-34527）

宣布时间 2021-07-08

0x00 误差概述

CVE ID	CVE-2021-34527	时间	2021-07-08
类型	RCE	等级	高危
远程使用	是	影响规模
攻击重漂后	低	可用性	高
用户交互		所需权限
PoC/EXP	已果真	在野使用	是

0x01 误差详情

Windows Print Spooler是Windows的打印机后台处置惩罚程序，，，，，，其治理所有外地和网络打印行列并控制所有打印事情，，，，，，被普遍应用于外地和内网中。。

2021年7月6日，，，，，，Microsoft针对CVE-2021-34527宣布了带外清静更新KB5004945。。可是建议不要装置Microsoft 7 月 6 日宣布的补丁，，，，，，由于它不但不可避免误差，，，，，，并且会修改“localspl.dll”文件，，，，，，使得0Patch 的补丁不再有用。。

清静研究职员体现，，，，，，微软只修复了该误差的远程代码执行部分，，，，，，但在启用"指向并打印限制"的Windows战略的情形下，，，，，，恶意软件和攻击者仍然可以通过外地权限提升（LPE）来获得易受攻击系统的权限，，，，，，并可以绕过补丁来实现远程代码执行。。

但要绕过补丁并实现RCE和LPE，，，，，，必需启用名为"指向并打印限制"的Windows战略，，，，，，并将 "装置新毗连的驱动程序时 "的设置设置为 "不显示忠言或提升提醒"（设置路径：组战略>盘算机设置>治理模板>打印机>指向并打印限制）。。

启用后，，，，，，在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint键下，，，，，，"NoWarningNoElevationOnInstall "值将被设置为1。。

该误差（CVE-2021-34527）是AddPrinterDriverEx（）、RpcAddPrinterDriver（）和RpcAsyncAddPrinterDriver（）等用于装置外地或远程打印机驱动程序的Windows API函数中缺少ACL（会见控制列表）检查造成的。。这些函数都是通过差别的Windows API使用，，，，，，如下：

AddPrinterDriverEx (SDK)

RpcAddPrinterDriver (MS-RPRN)

RpcAsyncAddPrinterDriver (MS-PAR)

使用该误差可以绕过权限检查，，，，，，将恶意DLL装置到C:\Windows\System32\spool\drivers文件夹中，，，，，，然后通过误差加载为打印驱动，，，，，，实现远程代码执行或外地权限提升。。

0x02 历史回首

2021年6月29日，，，，，，清静研究职员在GitHub上果真了一个Windows Print Spooler远程代码执行0day误差（CVE-2021-34527）。。

需要注重的是，，，，，，该误差（CVE-2021-34527）与Microsoft 6月8日星期二补丁日中修复并于6月21日更新的一个EoP升级到RCE的误差（CVE-2021-1675）不是统一个误差。。这两个误差相似但差别，，，，，，攻击向量也差别。。

现在该误差已经果真披露，，，，，，并且已泛起在野使用。。当 Windows Print Spooler 效劳不准确地执行特权文件操作时，，，，，，保存远程执行代码误差。。乐成使用此误差的攻击者可以使用 SYSTEM 权限运行恣意代码、装置程序、审查并更改或删除数据、或建设具有完全用户权限的新帐户，，，，，，但攻击必需涉及挪用 RpcAddPrinterDriverEx() 的经由身份验证的用户。。

0x03 处置惩罚建议

第三方补丁效劳团队0patch为 CVE-2021-34527宣布了一个免费的微补丁，，，，，，据体现该补丁能够阻止针对此误差使用。。在微软宣布最终更新之前，，，，，，建议用户装置 0Patch 的微补丁或禁用 Print Spooler 效劳。。

1.禁用 Print Spooler 效劳（可选其一）。。

使用以下 PowerShell 下令：

Stop-Service -Name Spooler -Force

Set-Service -Name Spooler -StartupType Disabled

2. 通过组战略禁用入站远程打�。。ǹ裳∑湟唬�

运行组战略编辑器（Win+R快捷键，，，，，，输入gpedit.msc，，，，，，翻开组战略编辑器），，，，，，依次进入：盘算机设置>治理模板>打印机，，，，，，禁用“允许打印后台处置惩罚程序接受客户端毗连”战略以阻止远程攻击。。

下载链接：

https://blog.0patch.com/2021/07/free-micropatches-for-printnightmare.html

0x04 参考链接

https://github.com/afwu/PrintNightmare

https://www.bleepingcomputer.com/news/microsoft/microsofts-incomplete-printnightmare-patch-fails-to-fix-vulnerability/

https://blog.0patch.com/2021/07/free-micropatches-for-printnightmare.html

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527

0x05 时间线

2021-07-01 Microsoft宣布清静通告

2021-07-02 VSRC宣布清静通告

2021-07-06 Microsoft宣布清静更新

2021-07-08 VSRC更新清静通告

0x06 附录

CVSS评分标准官网：http://www.first.org/cvss/

上一篇下一篇

7*24小时效劳热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 人生就是博版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】