近日,根据360CERT监测发现安全研究人员在GitHub上公开了Windows Print Spooler 蠕虫级远程代码执行0day漏洞的EXP,目前针对该EXP,微软官方暂无相关补丁。
漏洞等级:严重,漏洞评分:10.0。
Windows Print Spooler是Windows的打印机后台处理程序,广泛的应用于各种内网中,攻击者可以通过该漏洞绕过PfcAddPrinterDriver的安全验证,并在打印服务器中安装恶意的驱动程序。若攻击者所控制的用户在域中,则攻击者可以连接到DC中的Spooler服务,并利用该漏洞在DC中安装恶意的驱动程序,完整的控制整个域环境。
利用该0day漏洞,攻击者可以使用一个低权限用户(包括匿名共享guest账户),对本地网络中的电脑发起攻击,控制存在漏洞的电脑。尤其在企业内部,在域环境中,普通域用户,可以通过该服务,攻击域控服务器,从而控制整个网络。该漏洞广泛的存在于各Windows版本中,利用复杂度低,所以该漏洞的利用价值极高。
目前最新EXP已扩散,经过360CERT验证,该EXP可以绕过微软六月针对CVE-2021-1675漏洞的最新修补程序。同时,mimikatz已经将该POC武器化,并对外发布。
对此,建议广大用户在条件允许的情况下,暂时关闭域中的 Print Spooler服务,等待官方的最新修复程序。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。
风险等级
威胁等级:严重
影响面:广泛
攻击者价值:极高
利用难度:低
漏洞详情
Windows Print Spooler 蠕虫级远程代码执行0day漏洞
CVE: CVE-2021-34527
组件: Windows Server 2019,Windows Server 2016,Windows Server 2012,Windows Server 2008,Windows 10,Windows 8.1,Windows 7
漏洞类型: 代码执行
影响: 获得域管理权限
简述: 利用该0day漏洞,攻击者可以使用一个低权限用户(包括匿名共享guest账户),对本地网络中的电脑发起攻击,控制存在漏洞的电脑。尤其在企业内部,在域环境中,普通域用户,可以通过该服务,攻击域控服务器,从而控制整个网络。
在此安全狗小编建议用户尽可能使用该服务,官方会尽快修复该漏洞,同时如果您的服务器需要进一步的安全防护,欢迎访问安全狗云磐saas服务平台,咨询右侧联系客服获取更详细信息。