CVE-2021-34527: Windows Print Spooler 蠕虫级远程代码执行漏洞
报告编号:B6-2021-062902
报告来源:360CERT
报告作者:360CERT
更新日期:2021-07-02
1
更新概览
1.漏洞简述
新增360CERT对CVE-2021-34527(PrintNightmare)的研判
2.漏洞详情
新增相关验证截图
2
漏洞简述
2021年06月29日,360CERT监测发现安全研究人员
在GitHub上公开了Windows Print Spooler 蠕虫级远程代码执行0day漏洞
的EXP,漏洞等级:严重
,漏洞评分:10.0
。
Windows Print Spooler是Windows的打印机后台处理程序,广泛的应用于各种内网中,攻击者可以通过该漏洞绕过PfcAddPrinterDriver的安全验证,并在打印服务器中安装恶意的驱动程序。若攻击者所控制的用户在域中,则攻击者可以连接到DC中的Spooler服务,并利用该漏洞在DC中安装恶意的驱动程序,完整的控制整个域环境。
利用该0day漏洞,攻击者可以使用一个低权限用户(包括匿名共享guest账户),对本地网络中的电脑发起攻击,控制存在漏洞的电脑。尤其在企业内部,在域环境中,普通域用户,可以通过该服务,攻击域控服务器,从而控制整个网络。该漏洞广泛的存在于各Windows版本中,利用复杂度低,所以该漏洞的利用价值极高。
目前最新EXP已扩散
,经过360CERT验证,该EXP可以绕过微软六月针对CVE-2021-1675漏洞的最新修补程序
。同时,mimikatz
已经将该POC武器化,并对外发布。
目前针对该EXP,微软官方暂无相关补丁
。对此,360CERT建议广大用户在条件允许的情况下,暂时关闭域中的 Print Spooler服务,等待官方的最新修复程序。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。
3
风险等级
360CERT对该漏洞的评定结果如下
评定方式 | 等级 |
---|---|
威胁等级 | 严重 |
影响面 | 广泛 |
攻击者价值 | 极高 |
利用难度 | 低 |
360CERT评分 | 10.0 |
4
漏洞详情
Windows Print Spooler 蠕虫级远程代码执行0day漏洞
CVE: CVE-2021-34527
组件: Windows Server 2019,Windows Server 2016,Windows Server 2012,Windows Server 2008,Windows 10,Windows 8.1,Windows 7
漏洞类型: 代码执行
影响: 获得域管理权限
简述: 利用该0day漏洞,攻击者可以使用一个低权限用户(包括匿名共享guest账户),对本地网络中的电脑发起攻击,控制存在漏洞的电脑。尤其在企业内部,在域环境中,普通域用户,可以通过该服务,攻击域控服务器,从而控制整个网络。
微软官方于 2021年07月01日紧急发布通告,并分配CVE编号
360CERT已复现该EXP
- 1
mimikatz 已经将该EXP武器化
- 1
5
影响版本
* Windows Server 2019 (Server Core installation)
* Windows Server 2019
* Windows Server 2016 (Server Core installation)
* Windows Server 2016
* Windows Server 2012 R2 (Server Core installation)
* Windows Server 2012 R2
* Windows Server 2012 (Server Core installation)
* Windows Server 2012
* Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
* Windows Server 2008 R2 for x64-based Systems Service Pack 1
* Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
* Windows Server 2008 for x64-based Systems Service Pack 2
* Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
* Windows Server 2008 for 32-bit Systems Service Pack 2
* Windows Server, version 2004 (Server Core installation)
* Windows RT 8.1
* Windows 8.1 for x64-based systems
* Windows 8.1 for 32-bit systems
* Windows 7 for x64-based Systems Service Pack 1
* Windows 7 for 32-bit Systems Service Pack 1
* Windows 10 Version 1607 for x64-based Systems
* Windows 10 Version 1607 for 32-bit Systems
* Windows 10 for x64-based Systems
* Windows 10 for 32-bit Systems
* Windows Server, version 20H2 (Server Core Installation)
* Windows 10 Version 20H2 for ARM64-based Systems
* Windows 10 Version 20H2 for 32-bit Systems
* Windows 10 Version 20H2 for x64-based Systems
* Windows 10 Version 2004 for x64-based Systems
* Windows 10 Version 2004 for ARM64-based Systems
* Windows 10 Version 2004 for 32-bit Systems
* Windows 10 Version 21H1 for 32-bit Systems
* Windows 10 Version 21H1 for ARM64-based Systems
* Windows 10 Version 21H1 for x64-based Systems
* Windows 10 Version 1909 for ARM64-based Systems
* Windows 10 Version 1909 for x64-based Systems
* Windows 10 Version 1909 for 32-bit Systems
* Windows 10 Version 1809 for ARM64-based Systems
* Windows 10 Version 1809 for x64-based Systems
* Windows 10 Version 1809 for 32-bit Systems
6
修复建议
通用修复建议
微软官方于 2021年07月01日紧急通告
微软官方通告
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527
临时修复建议
360CERT建议广大用户在条件允许的情况下,暂时关闭域中的 Print Spooler服务,等待官方的最新修复程序。
禁用Print Spooler服务方式:
\1. 在服务应用(services.msc)中找到Print Spooler服务。
\2. 停止运行服务,同时将“启动类型”修改为“禁用”。
7
产品侧解决方案
若想了解更多产品信息或有相关业务需求,可移步至http://360.net。
360安全分析响应平台
360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对该类漏洞的利用进行实时检测和阻断,请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。
360本地安全大脑
360本地安全大脑是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台,实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑已支持对相关漏洞利用的检测,请及时更新网络神经元(探针)规则和本地安全大脑关联分析规则,做好防护。
360终端安全管理系统
360终端安全管理系统软件是在360安全大脑极智赋能下,以大数据、云计算等新技术为支撑,以可靠服务为保障,集防病毒与终端安全管控功能于一体的企业级安全产品。
360终端安全管理系统已支持对相关漏洞进行检测和修复,建议用户及时更新漏洞库并安装更新相关补丁。
8
时间线
2021-06-08 微软发布通告
2021-06-21 微软更新通告
2021-06-29 360CERT检测POC公开
2021-06-29 360CERT发布通告
2021-07-01 360CERT更新通告
2021-07-02 微软紧急发布通告
2021-07-02 360CERT更新通告
9
参考链接
1、 微软官方通告
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-1675
2、 安全人员发布的POC
https://github.com/hhlxf/PrintNightmare/
3、 微软官方:CVE-2021-34527安全通告
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527
10
特制报告下载链接
一直以来,360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务,现360CERT正式推出安全通告特制版报告,以便用户做资料留存、传阅研究与查询验证。用户可直接通过以下链接进行特制报告的下载。
buddha_alert
http://certdl.qihucdn.com/cert-public-file/【360CERT】【EXP已验证】CVE-2021-34527_/%!s(MISSING).pdf
若有订阅意向与定制需求请扫描下方二维码进行信息填写,或发送邮件至g-cert-report#360.cn ,并附上您的 公司名、姓名、手机号、地区、邮箱地址。
转载自https://mp.weixin.qq.com/s/JdhhMFzHFYIl6QfEoWDuOA
</article>
http://www.taodudu.cc/news/show-1427794.html
相关文章:
- Windows Print Spooler 远程代码执行漏洞(CVE-2021-34527)
- CVE-2021-21871: PowerISO 内存越界写漏洞
- CVE-2021-35464: ForgeRock AM远程代码执行漏洞
- Trend Micro Password Manager 多个高危漏洞
- Windows Print Spooler 远程代码执行漏洞(CVE-2021-1675)
- CVE-2021-1675: Windows Print Spooler远程代码执行漏洞
- Python实现恋爱AA公式
- 如何科学的使用华为云
- 《计算机组成原理》BCD码 8421编码原理剖析
- Python 列表 append()函数使用详解
- python 列表 remove()函数使用详解
- 《Python入门到精通》Python基础语法
- Python列表常用函数使用详解(内附详细案例)
- Python集合常用函数使用详解(内附详细案例)
- Python字典常用函数使用详解(内附详细案例)
- Python数据类型转换详解(内附详细案例)
- 《Python入门到精通》运算符
- 《Python入门到精通》流程控制语句
- 《Python入门到精通》函数
- 《计算机网络入门到精通》网络体系结构
- 《Python入门到精通》文件操作
- ARP协议详解,ARP协议执行原理、ARP协议如何根据IP地址寻找Mac地址?
- DHCP协议执详解,DHCP协议执行流程、配置方式
- Typora如何设置图片的默认保存路径
- MySQL安装时Download界面为空,不显示需要下载的组件,MySQL Installer 8.0.28.0 Download界面为空解决方案
- SQLi LABS Less-8 布尔盲注
- SQL注入分类,一看你就明白了。SQL注入点/SQL注入类型/SQL注入有几种/SQL注入点分类
- 你的个人信息是如何被盗走的?MySQL脱库,脱库的原理,怎么脱库,脱库的步骤,一库三表六字段
- 我们都在向前奔跑,只有它独自留在了22年的春天 —— 冬奥日记
- MySQL三种打开方式
CVE-2021-34527: Windows Print Spooler 蠕虫级远程代码执行漏洞相关推荐
- 【更新1.0:PoC发布】CVE-2020-1350: Windows DNS Server蠕虫级远程代码执行漏洞通告
0x00 更新概览 2020年07月16日,360CERT监测到 FSecureLabs 发布了 PoC,可造成拒绝服务影响.本次更新标识该漏洞极易可能在短时间内出现大规模攻击态势. 具体更新详情可参 ...
- 查看exe代码_【安全风险通告】Windows Type 1字体解析远程代码执行漏洞安全风险通告...
微软官方今天发布了编号为ADV200006的安全通告,其中包含两枚Adobe字体管理库相关的严重远程代码执行漏洞,其中一枚漏洞为奇安信代码安全实验室提交,公告中指出这两枚漏洞已遭在野利用. 鉴于漏洞危 ...
- Windows支持诊断工具(MSDT)远程代码执行漏洞(CVE-2022-30190)分析复现/修复
前言 Microsoft Windows Support Diagnostic Tool (MSDT) Remote Code Execution Vulnerability对应的cve为CVE-20 ...
- CVE-2021-1675: Windows Print Spooler远程代码执行漏洞
** 赶紧点击上方话题进行订阅吧!** 报告编号:B6-2021-062902 报告来源:360CERT 报告作者:360CERT 更新日期:2021-06-29 1 漏洞简述 2021年06月29日 ...
- Windows Print Spooler 远程代码执行漏洞(CVE-2021-1675)
点击上方 订阅话题 第一时间了解漏洞威胁 0x01 漏洞描述 Windows Print Spooler是Windows的打印机后台处理程序,广泛的应用于各种内网中. 微软在2021年6月的安全更 ...
- Windows Print Spooler 远程代码执行漏洞(CVE-2021-34527)
点击上方 订阅话题 第一时间了解漏洞威胁 0x01 漏洞描述 Windows Print Spooler是Windows的打印机后台处理程序,广泛的应用于各种内网中. 360漏洞云监测到微软最新披 ...
- windows server 2012 远程连不上_CVE20201350 | Windows DNS Server远程代码执行漏洞通告
0x00 漏洞概述 CVE ID CVE-2020-1350 时 间 2020-07-15 类 型 RCE 等 级 严重 远程利用 是 影响范围 0x01 漏洞详情 微软于 ...
- [系统安全] 十.Windows漏洞利用之SMBv3服务远程代码执行漏洞(CVE-2020-0796)及防御详解
您可能之前看到过我写的类似文章,为什么还要重复撰写呢?只是想更好地帮助初学者了解病毒逆向分析和系统安全,更加成体系且不破坏之前的系列.因此,我重新开设了这个专栏,准备系统整理和深入学习系统安全.逆向分 ...
- rmi远程代码执行漏洞_微软 Windows DNS Server 远程代码执行漏洞
安全预警 漏洞:微软 Windows DNS Server 远程代码执行漏洞漏洞编号:CVE-2020-1350威胁程度:高影响范围: Windows Server 2008 for 32-bit S ...
最新文章
- php yii gridview字符串截取,Yii2-GridView常用代码块、笔记
- 三点顺序(计算几何)
- BZOJ4520:[CQOI2016]K远点对(K-D Tree)
- 多媒体技术 PI 第一期:OSS 圆桌预告
- java解析json数组对象_JAVA中快速解析JSON对象里包含的JSON数组
- 如何利用 NVIDIA 安培架构 GPU 的新一代 Tensor Core 对计算进行极致加速
- Log4j配置学习文档之二 处理日滚文件-实现原理
- Qt总结二十一:Qt控件一(QWidget)
- python manager_详解Python的Django框架中Manager方法的使用
- 深入理解JVM(6)——JVM性能调优实战
- 在java开发中关于class.getResourceAsStream(String name)与 class.getClassLoader().getResourceAsStream(String
- 笔记本计算机涂硅脂,笔记本cpu怎么更换散热硅脂?笔记本电脑cpu涂硅脂教程
- mysql 多表查询
- C# 文件搜索过程中如何提取office文件,wps,pdf,html,eml等格式的文件正文
- SEUS 转换XML到JAVA
- [涛思数据库taosdata学习打卡系列]-001安装
- 提取文件夹中图片名字
- JAVA、PHP身份证、统一社会信用代码算法解析验证
- Arcgis利用dem数据生成等高线
- 12个最佳的响应式网页设计教程,轻松带你入门!
热门文章
- 使用mybatis插入数据(insert)时返回主键的问题
- Codeforces Round #459 (Div. 2)题解
- C# RSACryptoServiceProvider加密解密签名验签和DESCryptoServic
- spring data整合elasticsearch的applicationContext.xml文件模板
- java求两个数组的并集、交集、差集
- python pip安装及出现的问题
- eclipse显示行号和Tab、空格、回车
- Spring Security OAuth2.0_实现分布式认证授权_微服务解析令牌并鉴权_Spring Security OAuth2.0认证授权---springcloud工作笔记154
- PostGreSql工作笔记004---PostGreSql修改密码_windows和linux下修改
- WebStorm学习笔记001---webstorm-删除项目 两种方法