0x00 漏洞概述
CVE ID
CVE-2021-34527
時 間
2021-07-08
類 型
RCE
等 級
高危
遠程利用
是
影響范圍
攻擊復雜度
低
可用性
高
用戶交互
所需權限
PoC/EXP
已公開
在野利用
是
0x01 漏洞詳情
Print 是的打印機后臺處理程序�,其管理所有本地和網絡打印隊列并控制所有打印工作�����,被廣泛應用于本地和內網中�����。
2021年7月6日,針對CVE-2021-34527發布了帶外安全更新�。但是建議不要安裝 7 月 6 日發布的補丁,因為它不僅不能防止漏洞,而且會修改“.dll”文件,使得 的補丁不再有效�����。
安全研究人員表示����,微軟只修復了該漏洞的遠程代碼執行部分本地打印機后臺處理程序服務沒有運行,但在啟用"指向并打印限制"的策略的情況下���,惡意軟件和攻擊者仍然可以通過本地權限提升(LPE)來獲得易受攻擊系統的權限,并可以繞過補丁來實現遠程代碼執行��。
但要繞過補丁并實現RCE和LPE���,必須啟用名為"指向并打印限制"的策略�����,并將 "安裝新連接的驅動程序時 "的設置配置為 "不顯示警告或提升提示"(配置路徑:組策略>計算機配置>管理模板>打印機>指向并打印限制)����。
啟用后本地打印機后臺處理程序服務沒有運行,在注冊表\\\\\\鍵下����,""值將被設置為1��。
該漏洞(CVE-2021-34527)是()、()和iver()等用于安裝本地或遠程打印機驅動程序的 API函數中缺少ACL(訪問控制列表)檢查造成的�����。這些函數都是通過不同的 API使用�����,如下:
(SDK)
(MS-RPRN)
iver (MS-PAR)
利用該漏洞可以繞過權限檢查,將惡意DLL安裝到C:\\\spool\文件夾中,然后通過漏洞加載為打印驅動���,實現遠程代碼執行或本地權限提升。
0x02 歷史回顧
2021年6月29日��,安全研究人員在上公開了一個 Print 遠程代碼執行0day漏洞(CVE-2021-34527)���。
需要注意的是���,該漏洞(CVE-2021-34527)與 6月8日星期二補丁日中修復并于6月21日更新的一個EoP升級到RCE的漏洞(CVE-2021-1675)不是同一個漏洞�����。這兩個漏洞相似但不同�����,攻擊向量也不同。
目前該漏洞已經公開披露,并且已出現在野利用����。當 Print 服務不正確地執行特權文件操作時���,存在遠程執行代碼漏洞��。成功利用此漏洞的攻擊者可以使用 權限運行任意代碼、安裝程序、查看并更改或刪除數據、或創建具有完全用戶權限的新帳戶,但攻擊必須涉及調用 x() 的經過身份驗證的用戶��。
0x03 處置建議
第三方補丁服務團隊為 CVE-2021-34527發布了一個免費的微補丁��,據表示該補丁能夠阻止針對此漏洞利用��。在微軟發布最終更新之前��,建議用戶安裝 的微補丁或禁用 Print 服務�����。
1.禁用 Print 服務(可選其一)。
使用以下 命令:
Stop- -Name -Force
Set- -Name -
2.通過組策略禁用入站遠程打?��。蛇x其一)
運行組策略編輯器(Win+R快捷鍵,輸入.msc��,打開組策略編輯器)��,依次進入:計算機配置>管理模板>打印機����,禁用“允許打印后臺處理程序接受客戶端連接”策略以阻止遠程攻擊�。
下載鏈接:
0x04 參考鏈接
0x05 時間線
2021-07-發布安全通告
2021-07-發布安全通告
2021-07-發布安全更新
2021-07-更新安全通告
0x06 附錄
CVSS評分標準官網:
