更新時間:2021/07/12 03:17:42
發佈時間:2021/07/12 03:17:42
TLP:
(White)
得對外公開散布,但不得違反著作權法等相關規定
更新說明:
1.漏洞說明[1][2]
Microsoft 已發現並調查影響 Windows Print Spooler 的遠端程式碼執行漏洞,漏洞號碼為CVE-2021-34527 。
當Windows Print Spooler服務不正確地執行特權檔案作業時,存在遠程執行代碼漏洞。成功利用此漏洞的攻擊者可以使用 SYSTEM 權限執行任意程式碼。然後攻擊者可以安裝程式;查看、更改或刪除資料;或建立具有管理員權限的新帳戶。
攻擊者必須經過身份驗證且具有 RpcAddPrinterDriverEx()權限,方可利用此漏洞。
US Cert考量暴險程度,建議Active Directory網域控制站和管理系統需要禁用Windows Print Spooler。推薦使用群組原則方式停用。
2.已揭露攻擊程式碼說明[3]
US CERT/CC已發布文件說明漏洞之攻擊方式。
3.影響平台:[1]
請參考Microsoft網站公告受影響之作業系統共41類。
4.CVSS向量: CVE-2021-34527
使用版本:CVSS 3
分析分數:8.8
5.建議措施: [4]
(1).安裝七月的額外緊急更新以修補漏洞。
(2).若無法安裝更新,可透過以下方式判斷主機是否存在CVE-2021-34527弱點:
如果主機登錄機碼設定及群組原則皆符合下列設定,則表示沒有CVE-2021-34527弱點
A.確認登錄機碼: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
NoWarningNoElevationOnInstall = 0 (DWORD) or not defined (default setting)
UpdatePromptSettings = 0 (DWORD) or not defined (default setting)
B.確認群組原則(Group Policy):尚未設定Point and Print Restrictions
(3).如果存在弱點,請依下列步驟進行漏洞緩解措施,並將此政策套用到所有有問題之主機,而修改後不須重新開機或重啟服務。
步驟一、開啟群組原則編輯工具,到Computer Configuration > Administrative Templates > Printers.
步驟二、依下列流程配置Point and Print Restrictions:
A.將Point and Print Restrictions設定為"Enabled"
B.將"When installing drivers for a new connection"設定為"Show warning and elevation prompt"
C.將"When updating drivers for an existing connection"設定為"Show warning and elevation prompt"
步驟三、確認下列登錄機碼的值,以確認群組原則是否有正確套用
登錄機碼:HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
NoWarningNoElevationOnInstall = 0 (DWORD)
UpdatePromptSettings = 0 (DWORD)
補充說明:將上述登錄機碼值設定為非零的值,會使有安裝CVE-2021-34527更新的裝置再次存在弱點。
步驟四、避免非管理者可對此登陸機碼進行修改,此步驟非必要,可依單位內評估結果選擇是否執行,詳細設定方式請詳參考連結[4]。
參考連結:
1.Windows
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527
2.US CERT
https://us-cert.cisa.gov/ncas/current-activity/2021/06/30/printnightmare-critical-windows-print-spooler-vulnerability
3.US CERT/CC
https://www.kb.cert.org/vuls/id/383432
4.Microsoft Support
https://support.microsoft.com/zh-tw/topic/kb5005010-restricting-installation-of-new-printer-drivers-after-applying-the-july-6-2021-updates-31b91c02-05bc-4ada-a7ea-183b129578a7
建議措施:
參考資料:
影響平台:
情資編號:
FISAC-202107-0006
系統目錄:
資安漏洞
資安類別:
資安訊息情資 / 其他
影響等級:
3
關鍵字:
弱點漏洞