Windows Print Spooler 是 Windows 的打印机后台处理程序，广泛的应用于各种内网中。

　　近日，监测发现安全研究人员在 GitHub 上公开了 Windows Print Spooler 蠕虫级远程代码执行 0day 漏洞的 EXP。攻击者可以通过该漏洞绕过 PfcAddPrinterDriver 的安全验证，并在打印服务器中安装恶意的驱动程序。若攻击者所控制的用户在域中，则攻击者可以连接到 DC 中的 Spooler 服务，并利用该漏洞在 DC 中安装恶意的驱动程序，完整的控制整个域环境。

　　利用该 0day 漏洞，攻击者可以使用一个低权限用户（包括匿名共享 guest 账户），对本地网络中的电脑发起攻击，控制存在漏洞的电脑。尤其在企业内部，在域环境中，普通域用户，可以通过该服务，攻击域控服务器，从而控制整个网络。该漏洞广泛的存在于各 Windows 版本中，利用复杂度低，所以该漏洞的利用价值极高。

　　目前最新 EXP 已扩散，该 EXP 可以绕过微软六月针对 CVE-2021-1675 漏洞的最新修补程序。同时，mimikatz 已经将该 POC 武器化，并对外发布。

　　目前针对该 EXP，微软官方已于 07 月 07 日发布相关补丁

　　对此，建议广大用户及时安装补丁程序或关闭域中的 Print Spooler 服务。与此同时，请做好资产自查以及预防工作，以免遭受黑客攻击。

　　Windows Print Spooler 蠕虫级远程代码执行 0day 漏洞

　　CVE: CVE-2021-34527

　　组件: Windows Server 2019,Windows Server 2016,Windows Server 2012,Windows Server 2008,Windows 10,Windows 8.1,Windows 7

　　漏洞类型: 代码执行

　　影响: 获得域管理权限

　　简述: 利用该 0day 漏洞，攻击者可以使用一个低权限用户（包括匿名共享 guest 账户），对本地网络中的电脑发起攻击，控制存在漏洞的电脑。尤其在企业内部，在域环境中，普通域用户，可以通过该服务，攻击域控服务器，从而控制整个网络。

　　⚫Windows Server 2019 (Server Core installation)

　　⚫Windows Server 2019

　　⚫Windows Server 2016 (Server Core installation

　　⚫Windows Server 2016

　　⚫Windows Server 2012 R2 (Server Core installation)

　　⚫Windows Server 2012 R2

　　⚫Windows Server 2012 (Server Core installation)

　　⚫Windows Server 2012

　　⚫Windows Server 2008 R2 for x64-based Systems ServicePack 1 (Server Core installation)

　　⚫Windows Server 2008 R2 for x64-based Systems ServicePack 1

　　⚫Windows Server 2008 for x64-based Systems ServicePack 2 (Server Core installation)

　　⚫Windows Server 2008 for x64-based Systems ServicePack 2

　　⚫Windows Server 2008 for 32-bit Systems Service Pack2 (Server Core installation)

　　⚫Windows Server 2008 for 32-bit Systems Service Pack2

　　⚫Windows Server, version 2004 (Server Coreinstallation)

　　⚫Windows RT 8.1

　　⚫Windows 8.1 for x64-based systems

　　⚫Windows 8.1 for 32-bit systems

　　⚫Windows 7 for x64-based Systems Service Pack 1

　　⚫Windows 7 for 32-bit Systems Service Pack 1

　　⚫Windows 10 Version 1607 for x64-based Systems

　　⚫Windows 10 Version 1607 for 32-bit Systems

　　⚫Windows 10 for x64-based Systems

　　⚫Windows 10 for 32-bit Systems

　　⚫Windows Server, version 20H2 (Server CoreInstallation)

　　⚫Windows 10 Version 20H2 for ARM64-based Systems

　　⚫Windows 10 Version 20H2 for 32-bit Systems

　　⚫Windows 10 Version 20H2 for x64-based Systems

　　⚫Windows 10 Version 2004 for x64-based Systems

　　⚫Windows 10 Version 2004 for ARM64-based Systems

　　⚫Windows 10 Version 2004 for 32-bit Systems

　　⚫Windows 10 Version 21H1 for 32-bit Systems

　　⚫Windows 10 Version 21H1 for ARM64-based Systems

　　⚫Windows 10 Version 21H1 for x64-based Systems

　　⚫Windows 10 Version 1909 for ARM64-based Systems

　　⚫Windows 10 Version 1909 for x64-based Systems

　　⚫Windows 10 Version 1909 for 32-bit Systems

　　⚫Windows 10 Version 1809 for ARM64-based Systems

　　⚫Windows 10 Version 1809 for x64-based Systems

　　⚫Windows 10 Version 1809 for 32-bit Systems

　　微软官方通告 CVE-2021-34527 修复程序下载：

　　https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527

　　值得注意的是，本次更新补丁的安装需要一定的前置补丁如Windows Server Update Services 需安装

　　KB5003173

　　https://support.microsoft.com/zh-cn/topic/2021-%E5%B9%B4-5-%E6%9C%88-11-%E6%97%A5-kb5003173-os-%E5%86%85%E9%83%A8%

　　E7%89%88%E6%9C%AC-19041-985-19042-985-%E5%92%8C-19043-985-2824ace2-eabe-4c3c-8a49-06e249f52527

　　离线使用 DISM.exe 需安装

　　KB4601382

　　https://support.microsoft.com/zh-cn/topic/2021-%E5%B9%B4-2-%E6%9C%88-24-%E6%97%A5-kb4601382-os-%E5%86%85%E9%83%A8%

　　E7%89%88%E6%9C%AC-19041-844-%E5%92%8C-19042-844-%E9%A2%84%E8%A7%88%E7%89%88-1a7ed2b4-017d-2644-a1e8-dd6bf14cba76

　　KB4598481

　　https://support.microsoft.com/zh-cn/topic/windows-10-%E7%89%88%E6%9C%AC-2004-%E5%92%8C-20h2-%E7%9A%84%E6%9C%8D%E5%

　　8A%A1%E5%A0%86%E6%A0%88%E6%9B%B4%E6%96%B0-2021-%E5%B9%B4-1-%E6%9C%88-12-%E6%97%A5-c8a86bf7-6d49-b7fe-4369-44b1429b33cf

　　KB5003173

　　https://support.microsoft.com/zh-cn/topic/2021-%E5%B9%B4-5-%E6%9C%88-11-%E6%97%A5-kb5003173-os-%E5%86%85%E9%83%A8%

　　E7%89%88%E6%9C%AC-19041-985-19042-985-%E5%92%8C-19043-985-2824ace2-eabe-4c3c-8a49-06e249f52527

　　临时修复建议

　　建议广大用户在条件允许的情况下，暂时关闭域中的 Print Spooler 服务，等待官方的最新修复程序。

　　禁用 Print Spooler 服务方式：

　　1. 在服务应用（services.msc）中找到 Print Spooler 服务。

　　2. 停止运行服务，同时将“启动类型”修改为“禁用”。

　　1）https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-1675

　　2）https://github.com/hhlxf/PrintNightmare/

　　3）https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527

　　4）https://support.microsoft.com/zh-cn/topic/july-6-2021-kb5004945-os-builds-19041-1083-19042-1083-and-

　　19043-1083-out-of-band-44b34928-0a71-4473-aa22-ecf3b83eed0e