河南省教育信息安全监测中心发布远程代码执行漏洞预警

作者:时间:2021-07-09点击数:

河南省教育信息安全监测中心 Windows Print Spooler CVE-2021-1675及 CVE-2021-34527 远程代码执行漏洞预警

一、事件描述近日,网络安全威胁和漏洞信息共享平台发布漏洞预警,公布了微软Windows Print Spooler 远程代码执行漏洞的风险公告,漏洞 CVE 编号:CVE-2021-1675 和 CVE-2021-34527,根据公告,攻击者只需一个普通权限的用户,即可对目标网络中的 Windows 系统发起远程攻击,控制存在漏洞的域控制器、服务器和 PC,从而控制整个网络。该漏洞广泛的存在于各个版本的 Windows 操作系统中,利用难度和复杂度低,危害极大。目前暂无相关补丁。

二、安全暂时处置建议请首先确定 Print Spooler 服务是否正在运行,如果 Print Spooler 正在运行或该服务未设置为禁用,以下两个暂时性的解决方案可任选其一:1、对于未启用安全域管理的终端用户。建议禁用 Windows Print Spooler服务,但这会导致打印服务不可用,建议需要打印时临时开启服务,用完禁止该服务,等待漏洞补丁发布。具体操作:在“windows 管理工具->服务”中,禁用“Print Spooler”或通过命令输入:“services.msc”。如下图所示操作:

对于使用安全域管理,操作方式如下:1)以域管理员身份运行以下命令:Get-Service -Name Spooler2)如果 Print Spooler Service 正在运行或该服务未被禁用,请选择使用PowerShell 执行以下任一选项来禁用 Print Spooler Service。Stop-Service -Name Spooler –Force 或Set-Service -Name Spooler -StartupType Disabled2、通过组策略禁用入站远程打印来阻挡远程恶意攻击,但可支持本地打印服务。具体配置方法如下:在本地组策略编辑器中,选择“计算机配置->管理模板->打印机”禁用“允许Print Spooler 接受客户端连接”或通过命令输入:“gpedit.msc”。如下图所示操作。

智慧校园及安全科 信息管理科

2021年7月9日



地址:河南省郑州市新郑龙湖区祥和路1号  办公电话: 0371-62503810 邮编:451191
网络报修电话:0371-62509995  信息管理科电话:0371-62594905