一、背景描述
Windows Print Spooler是Windows系统打印后台处理服务,管理所有本地和网络打印队列并控制所有打印工作。
2021年6月,微软发布安全更新,修复了Windows Print Spooler远程代码执行漏洞,漏洞编号为CVE-2021-1675。Windows Print Spooler存在设计缺陷,攻击者可通过该服务执行特制代码,进行权限提升。
目前该漏洞POC已公开。迪普科技建议相关用户及时进行修补更新,做好相关防护措施。
二、严重等级
!
高危
三、漏洞描述
该漏洞源于RpcAddPrinterDriver的身份验证存在代码缺陷,且部分参数内容可控。Print Spooler服务对应的进程以system权限运行,攻击者可通过输入特制代码绕过安全验证,获得权限提升。若攻击者处于域环境,攻击者可连接到DC(域控制器)的Print Spooler服务并利用该漏洞执行恶意代码或安装恶意驱动,进而控制整个域环境。
四、影响范围
Windows Server 2019 (Server Core installation)
Windows Server 2019
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server, version 2004 (Server Core installation)
Windows RT 8.1
Windows 8.1 for x64-based systems
Windows 8.1 for 32-bit systems
Windows 7 for x64-based Systems Service Pack 1
Windows 7 for 32-bit Systems Service Pack 1
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 for 32-bit Systems
Windows Server, version 20H2 (Server Core Installation)
Windows 10 Version 20H2 for ARM64-based Systems
Windows 10 Version 20H2 for 32-bit Systems
Windows 10 Version 20H2 for x64-based Systems
Windows 10 Version 2004 for x64-based Systems
Windows 10 Version 2004 for ARM64-based Systems
Windows 10 Version 2004 for 32-bit Systems
Windows 10 Version 21H1 for 32-bit Systems
Windows 10 Version 21H1 for ARM64-based Systems
Windows 10 Version 21H1 for x64-based Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows 10 Version 1909 for x64-based Systems
Windows 10 Version 1909 for 32-bit Systems
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
五、漏洞复现
1、环境配置,安装Windows Server 2019,并配置相关域环境,添加域控的普通账号dp。
2、使用metasploit生成64下的reverse_tcp反向shell。
3、将生成的payload放置在c:smb目录下。
4、使用https://github.com/cube0x0/CVE-2021-1675的攻击脚本。
5、metasploit启动监听,成功反弹shell并且获取到域控下的system权限,域提权成功。
六、解决方案
// 官方解决方案
1、目前微软已发布更新补丁,请更新对应版本补丁:
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-1675
2、若暂无法更新,用户可选择临时解决方案,即关闭Print Spooler服务。
输入CMD命令“services.msc”,打开本地服务:
找到“Print Spooler服务”,右键点击停止服务:
“Print Spooler服务”右键点击“属性”,在启动类型选择“禁用”,并点击“应用”:
// 迪普科技解决方案
///
NOCITCE
迪普科技安全研究院监测到Windows Print Spooler远程代码执行漏洞后,迅速采取了应急措施。
1)使用迪普“态势感知平台”检测现网环境中是否存在Windows Print Spooler远程代码执行漏洞——Spooler远程添加驱动行为。
2)迪普科技安全服务团队可协助客户完成现网安全风险评估,针对网络安全入侵事件,提供快速应急响应支撑服务以及专业的安全建设建议。
3)DPtech IPS2000、FW1000将在以下特征库版本中对Windows Print Spooler远程代码执行漏洞——Spooler远程添加驱动行为进行有效防护:
◆产品系列:IPS2000,FW1000
◆漏洞库版本:IPS-R3.1.205
4)迪普科技官网特征库下载地址:https://www.dptech.com/index.php?m=content&c=index&a=lists&catid=57
七、特征库升级指导说明
迪普科技安全产品可以通过升级特征库对Windows Print Spooler远程代码执行漏洞进行有效检测和防护,对应特征库版本号:IPS-R3.1.205。策略配置参考链接:http://forum.dptech.com/forum.php?mod=viewthread&tid=6136&extra=。
联系我们
迪普科技正在全力跟踪相关漏洞的最新进展,有疑问的客户也可联系迪普科技当地办事处售后人员或拨打客户服务热线电话:400-6100-598,进一步了解相关情况。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...