河南省教育信息安全监测中心发布远程代码执行漏洞预警

河南省教育信息安全监测中心 Windows Print Spooler CVE-2021-1675及 CVE-2021-34527 远程代码执行漏洞预警

一、事件描述近日，网络安全威胁和漏洞信息共享平台发布漏洞预警，公布了微软Windows Print Spooler 远程代码执行漏洞的风险公告，漏洞 CVE 编号：CVE-2021-1675 和 CVE-2021-34527，根据公告，攻击者只需一个普通权限的用户，即可对目标网络中的 Windows 系统发起远程攻击，控制存在漏洞的域控制器、服务器和 PC，从而控制整个网络。该漏洞广泛的存在于各个版本的 Windows 操作系统中，利用难度和复杂度低，危害极大。目前暂无相关补丁。

二、安全暂时处置建议请首先确定 Print Spooler 服务是否正在运行，如果 Print Spooler 正在运行或该服务未设置为禁用，以下两个暂时性的解决方案可任选其一：1、对于未启用安全域管理的终端用户。建议禁用 Windows Print Spooler服务，但这会导致打印服务不可用，建议需要打印时临时开启服务，用完禁止该服务，等待漏洞补丁发布。具体操作：在“windows 管理工具->服务”中，禁用“Print Spooler”或通过命令输入：“services.msc”。如下图所示操作：

对于使用安全域管理，操作方式如下：1）以域管理员身份运行以下命令：Get-Service -Name Spooler2）如果 Print Spooler Service 正在运行或该服务未被禁用，请选择使用PowerShell 执行以下任一选项来禁用 Print Spooler Service。Stop-Service -Name Spooler –Force 或Set-Service -Name Spooler -StartupType Disabled2、通过组策略禁用入站远程打印来阻挡远程恶意攻击，但可支持本地打印服务。具体配置方法如下：在本地组策略编辑器中，选择“计算机配置->管理模板->打印机”禁用“允许Print Spooler 接受客户端连接”或通过命令输入：“gpedit.msc”。如下图所示操作。

智慧校园及安全科 信息管理科

2021年7月9日