CVE-2021-34527: Windows Print Spooler 蠕虫级远程代码执行漏洞

报告编号：B6-2021-062902

报告来源：360CERT

报告作者：360CERT

更新日期：2021-07-02

更新概览

1.漏洞简述新增360CERT对CVE-2021-34527(PrintNightmare)的研判

2.漏洞详情新增相关验证截图

漏洞简述

2021年06月29日，360CERT监测发现安全研究人员在GitHub上公开了Windows Print Spooler 蠕虫级远程代码执行0day漏洞的EXP，漏洞等级：严重，漏洞评分：10.0。

Windows Print Spooler是Windows的打印机后台处理程序，广泛的应用于各种内网中，攻击者可以通过该漏洞绕过PfcAddPrinterDriver的安全验证，并在打印服务器中安装恶意的驱动程序。若攻击者所控制的用户在域中，则攻击者可以连接到DC中的Spooler服务，并利用该漏洞在DC中安装恶意的驱动程序，完整的控制整个域环境。

利用该0day漏洞，攻击者可以使用一个低权限用户（包括匿名共享guest账户），对本地网络中的电脑发起攻击，控制存在漏洞的电脑。尤其在企业内部，在域环境中，普通域用户，可以通过该服务，攻击域控服务器，从而控制整个网络。该漏洞广泛的存在于各Windows版本中，利用复杂度低，所以该漏洞的利用价值极高。

目前最新EXP已扩散，经过360CERT验证，该EXP可以绕过微软六月针对CVE-2021-1675漏洞的最新修补程序。同时，mimikatz已经将该POC武器化，并对外发布。

目前针对该EXP，微软官方暂无相关补丁。对此，360CERT建议广大用户在条件允许的情况下，暂时关闭域中的 Print Spooler服务，等待官方的最新修复程序。与此同时，请做好资产自查以及预防工作，以免遭受黑客攻击。

风险等级

360CERT对该漏洞的评定结果如下

评定方式	等级
威胁等级	严重
影响面	广泛
攻击者价值	极高
利用难度	低
360CERT评分	10.0

漏洞详情

Windows Print Spooler 蠕虫级远程代码执行0day漏洞

CVE: CVE-2021-34527

组件: Windows Server 2019,Windows Server 2016,Windows Server 2012,Windows Server 2008,Windows 10,Windows 8.1,Windows 7

漏洞类型: 代码执行

影响: 获得域管理权限

简述: 利用该0day漏洞，攻击者可以使用一个低权限用户（包括匿名共享guest账户），对本地网络中的电脑发起攻击，控制存在漏洞的电脑。尤其在企业内部，在域环境中，普通域用户，可以通过该服务，攻击域控服务器，从而控制整个网络。

微软官方于 2021年07月01日紧急发布通告，并分配CVE编号

360CERT已复现该EXP

mimikatz 已经将该EXP武器化

影响版本

* Windows Server 2019 (Server Core installation)

* Windows Server 2019

* Windows Server 2016 (Server Core installation)

* Windows Server 2016

* Windows Server 2012 R2 (Server Core installation)

* Windows Server 2012 R2

* Windows Server 2012 (Server Core installation)

* Windows Server 2012

* Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

* Windows Server 2008 R2 for x64-based Systems Service Pack 1

* Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

* Windows Server 2008 for x64-based Systems Service Pack 2

* Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

* Windows Server 2008 for 32-bit Systems Service Pack 2

* Windows Server, version 2004 (Server Core installation)

* Windows RT 8.1

* Windows 8.1 for x64-based systems

* Windows 8.1 for 32-bit systems

* Windows 7 for x64-based Systems Service Pack 1

* Windows 7 for 32-bit Systems Service Pack 1

* Windows 10 Version 1607 for x64-based Systems

* Windows 10 Version 1607 for 32-bit Systems

* Windows 10 for x64-based Systems

* Windows 10 for 32-bit Systems

* Windows Server, version 20H2 (Server Core Installation)

* Windows 10 Version 20H2 for ARM64-based Systems

* Windows 10 Version 20H2 for 32-bit Systems

* Windows 10 Version 20H2 for x64-based Systems

* Windows 10 Version 2004 for x64-based Systems

* Windows 10 Version 2004 for ARM64-based Systems

* Windows 10 Version 2004 for 32-bit Systems

* Windows 10 Version 21H1 for 32-bit Systems

* Windows 10 Version 21H1 for ARM64-based Systems

* Windows 10 Version 21H1 for x64-based Systems

* Windows 10 Version 1909 for ARM64-based Systems

* Windows 10 Version 1909 for x64-based Systems

* Windows 10 Version 1909 for 32-bit Systems

* Windows 10 Version 1809 for ARM64-based Systems

* Windows 10 Version 1809 for x64-based Systems

* Windows 10 Version 1809 for 32-bit Systems

修复建议

通用修复建议

微软官方于 2021年07月01日紧急通告

微软官方通告

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527

临时修复建议

360CERT建议广大用户在条件允许的情况下，暂时关闭域中的 Print Spooler服务，等待官方的最新修复程序。

禁用Print Spooler服务方式：

\1. 在服务应用（services.msc）中找到Print Spooler服务。

\2. 停止运行服务，同时将“启动类型”修改为“禁用”。

产品侧解决方案

若想了解更多产品信息或有相关业务需求，可移步至http://360.net。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对该类漏洞的利用进行实时检测和阻断，请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360本地安全大脑

360本地安全大脑是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台，实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑已支持对相关漏洞利用的检测，请及时更新网络神经元（探针）规则和本地安全大脑关联分析规则，做好防护。

360终端安全管理系统

360终端安全管理系统软件是在360安全大脑极智赋能下，以大数据、云计算等新技术为支撑，以可靠服务为保障，集防病毒与终端安全管控功能于一体的企业级安全产品。

360终端安全管理系统已支持对相关漏洞进行检测和修复，建议用户及时更新漏洞库并安装更新相关补丁。

时间线

2021-06-08 微软发布通告

2021-06-21 微软更新通告

2021-06-29 360CERT检测POC公开

2021-06-29 360CERT发布通告

2021-07-01 360CERT更新通告

2021-07-02 微软紧急发布通告

2021-07-02 360CERT更新通告

参考链接

1、微软官方通告

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-1675

2、安全人员发布的POC

https://github.com/hhlxf/PrintNightmare/

3、微软官方:CVE-2021-34527安全通告

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527

特制报告下载链接

一直以来，360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务，现360CERT正式推出安全通告特制版报告，以便用户做资料留存、传阅研究与查询验证。用户可直接通过以下链接进行特制报告的下载。

buddha_alert

http://certdl.qihucdn.com/cert-public-file/【360CERT】【EXP已验证】CVE-2021-34527_/%!s(MISSING).pdf

若有订阅意向与定制需求请扫描下方二维码进行信息填写，或发送邮件至g-cert-report#360.cn ，并附上您的公司名、姓名、手机号、地区、邮箱地址。

转载自https://mp.weixin.qq.com/s/JdhhMFzHFYIl6QfEoWDuOA

</article>

查看全文

http://www.taodudu.cc/news/show-1427794.html

Windows Print Spooler 远程代码执行漏洞（CVE-2021-34527）
CVE-2021-21871: PowerISO 内存越界写漏洞
CVE-2021-35464: ForgeRock AM远程代码执行漏洞
Trend Micro Password Manager 多个高危漏洞
Windows Print Spooler 远程代码执行漏洞（CVE-2021-1675）
CVE-2021-1675: Windows Print Spooler远程代码执行漏洞
Python实现恋爱AA公式
如何科学的使用华为云
《计算机组成原理》BCD码 8421编码原理剖析
Python 列表 append()函数使用详解
python 列表 remove()函数使用详解
《Python入门到精通》Python基础语法
Python列表常用函数使用详解（内附详细案例）
Python集合常用函数使用详解（内附详细案例）
Python字典常用函数使用详解（内附详细案例）
Python数据类型转换详解（内附详细案例）
《Python入门到精通》运算符
《Python入门到精通》流程控制语句
《Python入门到精通》函数
《计算机网络入门到精通》网络体系结构
《Python入门到精通》文件操作
ARP协议详解，ARP协议执行原理、ARP协议如何根据IP地址寻找Mac地址？
DHCP协议执详解，DHCP协议执行流程、配置方式
Typora如何设置图片的默认保存路径
MySQL安装时Download界面为空，不显示需要下载的组件，MySQL Installer 8.0.28.0 Download界面为空解决方案
SQLi LABS Less-8 布尔盲注
SQL注入分类，一看你就明白了。SQL注入点/SQL注入类型/SQL注入有几种/SQL注入点分类
你的个人信息是如何被盗走的？MySQL脱库，脱库的原理，怎么脱库，脱库的步骤，一库三表六字段
我们都在向前奔跑，只有它独自留在了22年的春天 —— 冬奥日记
MySQL三种打开方式