首頁 > 安全研究 > 安全通報 > 安全通告

【通告更新】Windows Print Spooler遠程代碼執行漏洞(CVE-2021-34527)

發布時間 2021-07-08

0x00 漏洞概述

CVE     ID

CVE-2021-34527

時      間

2021-07-08

類      型

RCE

等      級

高危

遠程利用

影響范圍


攻擊復雜度

可用性

用戶交互


所需權限


PoC/EXP

已公開

在野利用

 

0x01 漏洞詳情

image.png

 

Windows Print Spooler是Windows的打印機后臺處理程序,其管理所有本地和網絡打印隊列并控制所有打印工作,被廣泛應用于本地和內網中。

2021年7月6日,Microsoft針對CVE-2021-34527發布了帶外安全更新KB5004945。但是建議不要安裝Microsoft 7 月 6 日發布的補丁,因為它不僅不能防止漏洞,而且會修改“localspl.dll”文件,使得0Patch 的補丁不再有效。

安全研究人員表示,微軟只修復了該漏洞的遠程代碼執行部分,但在啟用"指向并打印限制"的Windows策略的情況下,惡意軟件和攻擊者仍然可以通過本地權限提升(LPE)來獲得易受攻擊系統的權限,并可以繞過補丁來實現遠程代碼執行。

但要繞過補丁并實現RCE和LPE,必須啟用名為"指向并打印限制"的Windows策略,并將 "安裝新連接的驅動程序時 "的設置配置為 "不顯示警告或提升提示"(配置路徑:組策略>計算機配置>管理模板>打印機>指向并打印限制)。

image.png

啟用后,在注冊表HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint鍵下,"NoWarningNoElevationOnInstall "值將被設置為1。

該漏洞(CVE-2021-34527)是AddPrinterDriverEx()、RpcAddPrinterDriver()和RpcAsyncAddPrinterDriver()等用于安裝本地或遠程打印機驅動程序的Windows API函數中缺少ACL(訪問控制列表)檢查造成的。這些函數都是通過不同的Windows API使用,如下:

AddPrinterDriverEx (SDK)

RpcAddPrinterDriver (MS-RPRN)

RpcAsyncAddPrinterDriver (MS-PAR)

利用該漏洞可以繞過權限檢查,將惡意DLL安裝到C:\Windows\System32\spool\drivers文件夾中,然后通過漏洞加載為打印驅動,實現遠程代碼執行或本地權限提升。

 

0x02 歷史回顧

2021年6月29日,安全研究人員在GitHub上公開了一個Windows Print Spooler遠程代碼執行0day漏洞(CVE-2021-34527)。

需要注意的是,該漏洞(CVE-2021-34527)與Microsoft 6月8日星期二補丁日中修復并于6月21日更新的一個EoP升級到RCE的漏洞(CVE-2021-1675)不是同一個漏洞。這兩個漏洞相似但不同,攻擊向量也不同。

目前該漏洞已經公開披露,并且已出現在野利用。當 Windows Print Spooler 服務不正確地執行特權文件操作時,存在遠程執行代碼漏洞。成功利用此漏洞的攻擊者可以使用 SYSTEM 權限運行任意代碼、安裝程序、查看并更改或刪除數據、或創建具有完全用戶權限的新帳戶,但攻擊必須涉及調用 RpcAddPrinterDriverEx() 的經過身份驗證的用戶。

 

0x03 處置建議

第三方補丁服務團隊0patch為 CVE-2021-34527發布了一個免費的微補丁,據表示該補丁能夠阻止針對此漏洞利用。在微軟發布最終更新之前,建議用戶安裝 0Patch 的微補丁或禁用 Print Spooler 服務。

 

1.禁用 Print Spooler 服務(可選其一)。

使用以下 PowerShell 命令:

Stop-Service -Name Spooler -Force

Set-Service -Name Spooler -StartupType Disabled

 

2. 通過組策略禁用入站遠程打?。蛇x其一)

運行組策略編輯器(Win+R快捷鍵,輸入gpedit.msc,打開組策略編輯器),依次進入:計算機配置>管理模板>打印機,禁用“允許打印后臺處理程序接受客戶端連接”策略以阻止遠程攻擊。

 

下載鏈接:

https://blog.0patch.com/2021/07/free-micropatches-for-printnightmare.html

 

0x04 參考鏈接

https://github.com/afwu/PrintNightmare

https://www.bleepingcomputer.com/news/microsoft/microsofts-incomplete-printnightmare-patch-fails-to-fix-vulnerability/

https://blog.0patch.com/2021/07/free-micropatches-for-printnightmare.html

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527

 

0x05 時間線

2021-07-01  Microsoft發布安全通告

2021-07-02  VSRC發布安全通告

2021-07-06  Microsoft發布安全更新

2021-07-08  VSRC更新安全通告

 

0x06 附錄

CVSS評分標準官網:http://www.first.org/cvss/

image.png

 

 

上一篇 下一篇