千米云公告 > 公告详情

【安全通告】Windows Print Spooler远程代码执行漏洞风险通告(CVE-2021-36958)

发布时间:2021-08-17 22:42:07

尊敬的千米云用户,您好!

近日,千米云安全运营中心监测到,微软紧急发布安全公告,披露出新Windows Print Spooler远程代码执行漏洞,漏洞编号为CVE-2021-36958。可导致远程代码执行等危害。该漏洞目前处于0day状态,暂未有相关补丁发布。
为避免您的业务受影响,千米云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
漏洞详情
Windows Print Spooler是Windows的打印机后台处理程序,该服务广泛的存在于各Windows版本中。
当 Windows Print Spooler 服务不正确地执行特权文件操作时,存在远程执行代码漏洞。成功利用此漏洞的攻击者可以使用 SYSTEM 权限运行任意代码。攻击者可以利用该漏洞安装程序;查看、更改或删除数据;或创建具有完全用户权限的新帐户。
风险等级
高(目前处于0day状态,暂未有补丁发布)
漏洞风险
攻击者可利用该漏洞远程执行任意代码
影响版本
具体影响版本微软官方正在调查确认中
安全版本
微软暂未发布安全更新,目前仅提供出临时缓解措施
修复建议
临时缓解措施:
微软官方建议停止并禁用Print Spooler 服务
可通过以下步骤禁用Print Spooler服务:
1. 打开服务应用(services.msc),在其中找到Print Spooler服务。
2. 停止运行服务,同时将“启动类型”修改为“禁用”。
或使用以下powershell命令:
1.检查Print Spooler服务是否正在运行
Get-Service -Name Spooler
2.如果Print Spooler服务正在运行,可使用以下命令禁用:
Stop-Service -Name Spooler -Force
Set-Service -Name Spooler -StartupType Disabled
注意:关闭该服务后会导致无法本地或远程打印

【备注】:建议您在升级前做好数据备份工作,避免出现意外
漏洞参考
补丁及更多详情参考:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36958


/template/Home/qcloud/PC/Static