Windows Print Spooler 蠕虫级远程代码执行0day漏洞通告

　　近日，根据360CERT监测发现安全研究人员在GitHub上公开了Windows Print Spooler 蠕虫级远程代码执行0day漏洞的EXP，目前针对该EXP，微软官方暂无相关补丁。

　　漏洞等级：严重，漏洞评分：10.0。

　　Windows Print Spooler是Windows的打印机后台处理程序，广泛的应用于各种内网中，攻击者可以通过该漏洞绕过PfcAddPrinterDriver的安全验证，并在打印服务器中安装恶意的驱动程序。若攻击者所控制的用户在域中，则攻击者可以连接到DC中的Spooler服务，并利用该漏洞在DC中安装恶意的驱动程序，完整的控制整个域环境。

　　利用该0day漏洞，攻击者可以使用一个低权限用户(包括匿名共享guest账户)，对本地网络中的电脑发起攻击，控制存在漏洞的电脑。尤其在企业内部，在域环境中，普通域用户，可以通过该服务，攻击域控服务器，从而控制整个网络。该漏洞广泛的存在于各Windows版本中，利用复杂度低，所以该漏洞的利用价值极高。

　　目前最新EXP已扩散，经过360CERT验证，该EXP可以绕过微软六月针对CVE-2021-1675漏洞的最新修补程序。同时，mimikatz已经将该POC武器化，并对外发布。

　　对此，建议广大用户在条件允许的情况下，暂时关闭域中的 Print Spooler服务，等待官方的最新修复程序。与此同时，请做好资产自查以及预防工作，以免遭受黑客攻击。

　　风险等级

　　威胁等级：严重

　　影响面：广泛

　　攻击者价值：极高

　　利用难度：低

　　漏洞详情

　　Windows Print Spooler 蠕虫级远程代码执行0day漏洞

　　CVE: CVE-2021-34527

　　组件: Windows Server 2019,Windows Server 2016,Windows Server 2012,Windows Server 2008,Windows 10,Windows 8.1,Windows 7

　　漏洞类型: 代码执行

　　影响: 获得域管理权限

　　简述: 利用该0day漏洞，攻击者可以使用一个低权限用户(包括匿名共享guest账户)，对本地网络中的电脑发起攻击，控制存在漏洞的电脑。尤其在企业内部，在域环境中，普通域用户，可以通过该服务，攻击域控服务器，从而控制整个网络。

　　在此安全狗小编建议用户尽可能使用该服务，官方会尽快修复该漏洞，同时如果您的服务器需要进一步的安全防护，欢迎访问安全狗云磐saas服务平台，咨询右侧联系客服获取更详细信息。