Windows Print Spooler 遠程代碼執行漏洞風險預警(CVE-2021-36958)

微軟緊急發布安全公告，披露出新Windows Print Spooler遠程代碼執行漏洞，漏洞編號為CVE-2021-36958?？蓪е逻h程代碼執行等危害。該漏洞目前處于0 DAY狀態，暫未有相關補丁發布。

為避免您的業務數據受到影響，發菜建議您及時進行自查，如在受影響范圍，請您及時進行更新修復，避免被外部攻擊者入侵。

漏洞詳情
Windows Print Spooler是Windows的打印機后臺處理程序，該服務廣泛的存在于各Windows版本中。

當 Windows Print Spooler 服務不正確地執行特權文件操作時，存在遠程執行代碼漏洞。成功利用此漏洞的攻擊者可以使用 SYSTEM 權限運行任意代碼。攻擊者可以利用該漏洞安裝任何程序；查看、更改或刪除磁盤數據；或創建具有完整用戶權限的新帳戶。


該漏洞為Windows Print Spooler系列漏洞，合集名稱為PrintNightmare，相關漏洞記錄
CVE-2021-1675 本地攻擊提權 6月補丁已修復
CVE-2021-34481 遠程攻擊提權 7月補丁已修復
CVE-2021-34527 遠程攻擊提權 7月補丁已修復
CVE-2021-36958 本地攻擊提權 8月0DAY漏洞


風險等級
高（0DAY狀態，無補丁修復）
漏洞風險
攻擊者可利用該漏洞進行遠程執行任意代碼
影響版本
微軟官方正在評估中，我司建議所有windows系統用戶均進行安全防護設置
安全版本
微軟暫未發布安全更新，目前僅提供臨時緩解措施

修復建議

更新補丁到最新且進行相關臨時緩解措施設置：
建議停止并禁用Print Spooler 服務


可通過以下步驟禁用Print Spooler服務:
圖形界面操作：
1. 打開服務應用（services.msc），在其中找到Print Spooler服務。
2. 停止運行服務，同時將“啟動類型”修改為“禁用”。

或使用cmd下命令操作：
net stop Spooler /y
sc config Spooler start= disabled


或使用powershell命令操作：

Stop-Service -Name Spooler -Force
Set-Service -Name Spooler -StartupType Disabled

【注意】：關閉該服務后會導致無法本地或遠程打印

漏洞參考

補丁及更多詳情參考：
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36958