漏洞
PrintNightmare (CVE-2021-34527)
别称: CVE-2021-34527, spoolsv RCE
定义
2021 年 Windows Print Spooler 服务漏洞,允许低权限用户安装恶意打印机驱动,从而以 SYSTEM 权限执行代码。
PrintNightmare(CVE-2021-34527,与相关的 CVE-2021-1675 一同披露)是 Windows Print Spooler 服务对 AddPrinterDriverEx 调用校验不足的缺陷。攻击者通过网络共享让 spooler 加载恶意 DLL,普通域用户(在某些配置下,甚至是远程未认证攻击者)便可以 SYSTEM 身份执行任意代码,包括在域控上。该漏洞 2021 年 7 月意外公开后被勒索软件团伙迅速武器化。微软发布了带外补丁与注册表加固指南。防御措施:打全部 PrintNightmare 相关补丁、在不需要 Print Spooler 的服务器(特别是 DC)上禁用它,并将 Point-and-Print 限制为管理员。
示例
- 勒索软件团伙利用 PrintNightmare 提升至 SYSTEM,并在域控上部署有效载荷。
- 红队从普通域用户起步,利用 PrintNightmare 提升为本地管理员。