• 2021-07-22

才剛修好再傳新漏洞! 趕快關閉Print Spooler服務!

Previous Next

經歷了一陣風波，好不容易才修復好的Windows列印多工緩衝處理器（Print Spooler）兩個漏洞，7月15日微軟再次宣布發現可讓攻擊者執行惡意程式的新漏洞CVE-2021-34481，且目前尚未有可修補程式。
由於已經有許多知名企業遭到攻擊造成軟體勒索或資料外洩，微軟緊急呼籲企業關閉Print Spooler服務。
 

漏洞編號CVE-2021-34481是Print Spooler服務中的本機權限升級的漏洞，風險層級為7.8分，是Print Spooler服務未正確驗證執行外部上傳檔案的結果。與前兩個漏洞的差別在於，前兩個漏洞具有遠端程式碼執行的特性，可進行遠端操控，此漏洞則是本地權限升級的特性。

利用此漏洞的攻擊者若攻擊成功，可將自有權限升級到系統權限，而在Windows網域控制器上執行任意程式碼，安裝惡意程式、修改、刪除重要資料，或是直接建立完整使用權限的新帳號。
 

目前尚未開發出此漏洞的修補程式，因此微軟呼籲企業關閉Print Spooler服務。關閉這項服務，意謂著使用者無法於本機電腦或從遠端執行列印作業，也就可以阻止服務未正確驗證執行外部上傳檔案的結果。

關閉的方法是在Windows PowerShell中輸入以下指令：
 

Stop-Service -Name Spooler -Force

Set-Service -Name Spooler -StartupType Disabled


 

微軟表示此漏洞並非上個風險漏洞PrintNightmare的變種體，也並非前面兩個漏洞的修補而引發的漏洞；CVE-2021-34481目前還在研究中，影響的Windows版本也尚未確定。至於何時會進行修補，也還未有一個確切的答案，只表示在之後的Patch Tuesday會釋出漏洞的修補程式。
 

前兩個漏洞(CVE-2021-1675和CVE-2021-34527)都是8.8分的高風險漏洞，微軟還因此在正常的Patch Tuesday釋出例外更新。該漏洞傳出有多起開採活動或意圖，促使美國網路安全暨基礎架構安全管理署於上周發布緊急命令，要求聯邦政府部門及相關單位限期安裝微軟於7月6日釋出的Windows更新。