微软重大安全漏洞!影响所有Windows设备

发布者:Editor
发布于:2021-07-06 18:53

图片


近日,一个名为PrintNightmare的漏洞造成的恐慌正在蔓延,微软已确认该漏洞的存在。据悉,该漏洞允许攻击者以域控制器上的系统权限运行任意代码。利用该漏洞,不法分子可以安装恶意程序、随意处理数据以及创建具有完全用户权限的新账户。

据微软称,该漏洞几乎影响到所有的Windows设备。美国网络安全和基础设施安全局(CISA)将其描述为关键漏洞进行关注。

 

这得从早前微软修复了的一个本地提权漏洞说起,该漏洞编号为CVE-2021-1675,是打印后台处理程序Windows Print Spooler的远程代码执行漏洞,低权限用户利用这个漏洞可以以管理员身份在运行Windows Print Spooler服务的系统上执行代码。这个漏洞与PrintNightmare漏洞相似但不相同。


也许是由于两者相似,某网络安全公司错误地认为PrintNightmare漏洞已经作为CVE-2021-1675的一部分完成了修复,结果意外披露了0day漏洞。尽管该公司很快就从Github撤下了概念验证代码,但为时已晚,后续的传播已无法切断。

 

微软于7月1日公布了该漏洞,编号为CVE-2021-34527,并表示正在积极开展调查与修复工作。


针对本次漏洞,微软官方目前尚未发布相应的更新补丁,但为用户提供了两个暂时性的解决方案:


图片


一是禁用Windows Print Spooler服务,但这会导致打印服务不可用。


二是通过组策略禁用入站远程打印,但还支持本地打印服务。

 

两种方法的具体步骤如下。


一、禁用Print Spooler服务:


图片


1、以管理员身份运行Powershell;

2、运行以下命令查看Print Spooler服务是否已禁用:

Get-Service -Name Spooler

3、运行以下命令以禁用Print Spooler服务:

Stop-Service -Name Spooler -Force

4、运行以下命令以防止Windows重启后重新启用Print Spooler服务:

Set-Service -Name Spooler -StartupType Disabled

如果你采用了这种方法,等到微软发布更新补丁成功修复漏洞后,你可以在Powershell中运行以下两个相应的命令重新启用Print Spooler服务:

Set-Service -Name Spooler -StartupType Automatic

Start-Service -Name Spooler

 

二、通过组策略禁用入站远程打印:


图片


1、win+R运行gpedit.msc进入本地组策略编辑器;

2、进入“计算机配置\管理模板\打印机”;

3、禁用“允许打印后台处理程序接受客户端连接”;

4、重新启动Print Spooler服务以便组策略生效。

 

这个漏洞广泛存在于各Windows版本中,攻击造成的后果严重,对黑客来说该漏洞的利用价值很高,因此在修复补丁出来前建议大家尽快采用其中一种临时对策。


 

图片


推荐文章++++

敲响警钟!滴滴出行遭审查、下架

可自我修复的软电路板问世了!手机电脑还会怕摔吗?

戴尔3000+万台设备遭受攻击?修补程序于今日发布!

Windows 11预览版安装避坑指南

最新发现:NFC读卡器中存在漏洞,嵌入式系统安全面临挑战!

微软承认签名通过恶意Netfilter rootkit内核驱动程序

小错误大麻烦!一不小心Python安装的可能就是恶意软件




声明:该文观点仅代表作者本人,转载请注明来自看雪