微軟重大安全漏洞！影響所有Windows裝置

近日，一個名為PrintNightmare的漏洞造成的恐慌正在蔓延，微軟已確認該漏洞的存在。據悉，該漏洞允許攻擊者以域控制器上的系統許可權執行任意程式碼。利用該漏洞，不法分子可以安裝惡意程式、隨意處理資料以及建立具有完全使用者許可權的新賬戶。

據微軟稱，該漏洞幾乎影響到所有的Windows裝置。美國網路安全和基礎設施安全域性（CISA）將其描述為關鍵漏洞進行關注。

這得從早前微軟修復了的一個本地提權漏洞說起，該漏洞編號為CVE-2021-1675，是列印後臺處理程式Windows Print Spooler的遠端程式碼執行漏洞，低許可權使用者利用這個漏洞可以以管理員身份在執行Windows Print Spooler服務的系統上執行程式碼。這個漏洞與PrintNightmare漏洞相似但不相同。

也許是由於兩者相似，某網路安全公司錯誤地認為PrintNightmare漏洞已經作為CVE-2021-1675的一部分完成了修復，結果意外披露了0day漏洞。儘管該公司很快就從Github撤下了概念驗證程式碼，但為時已晚，後續的傳播已無法切斷。

微軟於7月1日公佈了該漏洞，編號為CVE-2021-34527，並表示正在積極開展調查與修復工作。

針對本次漏洞，微軟官方目前尚未釋出相應的更新補丁，但為使用者提供了兩個暫時性的解決方案：

一是禁用Windows Print Spooler服務，但這會導致列印服務不可用。

二是通過組策略禁用入站遠端列印，但還支援本地列印服務。

兩種方法的具體步驟如下。

一、禁用Print Spooler服務：

1、以管理員身份執行Powershell；

2、執行以下命令檢視Print Spooler服務是否已禁用：

Get-Service -Name Spooler

3、執行以下命令以禁用Print Spooler服務：

Stop-Service -Name Spooler -Force

4、執行以下命令以防止Windows重啟後重新啟用Print Spooler服務：

Set-Service -Name Spooler -StartupType Disabled

如果你採用了這種方法，等到微軟釋出更新補丁成功修復漏洞後，你可以在Powershell中執行以下兩個相應的命令重新啟用Print Spooler服務：

Set-Service -Name Spooler -StartupType Automatic

Start-Service -Name Spooler

二、通過組策略禁用入站遠端列印：

1、win+R執行gpedit.msc進入本地組策略編輯器；

2、進入“計算機配置\管理模板\印表機”；

3、禁用“允許列印後臺處理程式接受客戶端連線”；

4、重新啟動Print Spooler服務以便組策略生效。

這個漏洞廣泛存在於各Windows版本中，攻擊造成的後果嚴重，對黑客來說該漏洞的利用價值很高，因此在修復補丁出來前建議大家儘快採用其中一種臨時對策。

微軟重大安全漏洞！影響所有Windows裝置

相關文章