近日,一个名为PrintNightmare的漏洞造成的恐慌正在蔓延,微软已确认该漏洞的存在。据悉,该漏洞允许攻击者以域控制器上的系统权限运行任意代码。利用该漏洞,不法分子可以安装恶意程序、随意处理数据以及创建具有完全用户权限的新账户。据微软称,该漏洞几乎影响到所有的Windows设备。美国网络安全和基础设施安全局(CISA)将其描述为关键漏洞进行关注。
这得从早前微软修复了的一个本地提权漏洞说起,该漏洞编号为CVE-2021-1675,是打印后台处理程序Windows Print Spooler的远程代码执行漏洞,低权限用户利用这个漏洞可以以管理员身份在运行Windows Print Spooler服务的系统上执行代码。这个漏洞与PrintNightmare漏洞相似但不相同。也许是由于两者相似,某网络安全公司错误地认为PrintNightmare漏洞已经作为CVE-2021-1675的一部分完成了修复,结果意外披露了0day漏洞。尽管该公司很快就从Github撤下了概念验证代码,但为时已晚,后续的传播已无法切断。微软于7月1日公布了该漏洞,编号为CVE-2021-34527,并表示正在积极开展调查与修复工作。针对本次漏洞,微软官方目前尚未发布相应的更新补丁,但为用户提供了两个暂时性的解决方案:一是禁用Windows Print Spooler服务,但这会导致打印服务不可用。二是通过组策略禁用入站远程打印,但还支持本地打印服务。2、运行以下命令查看Print Spooler服务是否已禁用:
Get-Service -Name Spooler3、运行以下命令以禁用Print Spooler服务:Stop-Service -Name Spooler -Force4、运行以下命令以防止Windows重启后重新启用Print Spooler服务:Set-Service -Name Spooler -StartupType Disabled如果你采用了这种方法,等到微软发布更新补丁成功修复漏洞后,你可以在Powershell中运行以下两个相应的命令重新启用Print Spooler服务:Set-Service -Name Spooler -StartupType AutomaticStart-Service -Name Spooler1、win+R运行gpedit.msc进入本地组策略编辑器;4、重新启动Print Spooler服务以便组策略生效。这个漏洞广泛存在于各Windows版本中,攻击造成的后果严重,对黑客来说该漏洞的利用价值很高,因此在修复补丁出来前建议大家尽快采用其中一种临时对策。![]()
文章来源: http://mp.weixin.qq.com/s?__biz=MjM5NTc2MDYxMw==&mid=2458388065&idx=3&sn=566d180eae378a97fc95d8985c33ac6f&chksm=b18f36eb86f8bffde3c5a2e42495b88b2d450429eb137d829e592a92f2f55a58edd9e5b79059#rd
如有侵权请联系:admin#unsafe.sh