尊敬的腾讯云用户，您好！

腾讯云安全运营中心监测到，2021年7月1日，微软重新调查并确认了代号为PrintNightmare的Windows Print Spooler远程代码执行漏洞，并新分配编号CVE-2021-34527。此漏洞与此前分配为 CVE-2021-1675的漏洞相似但不同，后者解决了 RpcAddPrinterDriverEx() 中的不同漏洞，攻击向量也不同。

为避免您的业务受影响，腾讯云安全建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。

漏洞详情

Windows Print Spooler是Windows的打印机后台处理程序，该服务广泛的存在于各Windows版本中。

当 Windows Print Spooler 服务不正确地执行特权文件操作时，存在远程执行代码漏洞。 成功利用此漏洞的攻击者可以使用 SYSTEM 权限运行任意代码。 然后攻击者可以安装程序、 查看、更改或删除数据； 或创建具有完全用户权限的新帐户。

攻击必须涉及调用 RpcAddPrinterDriverEx() 的经过身份验证的用户。

风险等级

高（漏洞利用工具已被公开）

漏洞风险

攻击者可利用该漏洞可远程执行任意代码或进行权限提升

影响版本

Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows RT 8.1
Windows 8.1 for x64-based systems
Windows 8.1 for 32-bit systems
Windows 7 for x64-based Systems Service Pack 1
Windows 7 for 32-bit Systems Service Pack 1
Windows Server 2016  (Server Core installation)
Windows Server 2016
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 for 32-bit Systems
Windows Server, version 20H2 (Server Core Installation)
Windows 10 Version 20H2 for ARM64-based Systems
Windows 10 Version 20H2 for 32-bit Systems
Windows 10 Version 20H2 for x64-based Systems
Windows Server, version 2004 (Server Core installation)
Windows 10 Version 2004 for x64-based Systems
Windows 10 Version 2004 for ARM64-based Systems
Windows 10 Version 2004 for 32-bit Systems
Windows 10 Version 21H1 for 32-bit Systems
Windows 10 Version 21H1 for ARM64-based Systems
Windows 10 Version 21H1 for x64-based Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows 10 Version 1909 for x64-based Systems
Windows 10 Version 1909 for 32-bit Systems
Windows Server 2019  (Server Core installation)
Windows Server 2019
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems

安全版本

目前官方已发布相关补丁：

KB5004954

KB5004958
KB5004953
KB5004951
KB5004955
KB5004959
KB5004950
KB5004945
KB5004946

KB5004947

请参照https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527，对照所使用的系统版本进行更新

修复建议

目前微软公司给出了漏洞补丁：

请参照https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527，对照所使用的系统版本更新相应补丁

临时缓解漏洞风险可参考以下步骤：
首先，确定 Print Spooler 服务是否正在运行
运行以下命令：
Get-Service -Name Spooler
如果 Print Spooler正在运行或该服务未设置为禁用，请选择下列方案中的一个，禁用 Print Spooler 服务，或通过组策略禁用入站远程打印：
 
方案 1 - 禁用 Print Spooler 服务：
可使用以下 PowerShell 命令，禁用 Print Spooler 服务：
Stop-Service -Name Spooler -Force
Set-Service -Name Spooler -StartupType Disabled
 
注意：禁用 Print Spooler 服务会禁用本地和远程打印功能。

方案 2 - 通过组策略禁用入站远程打印：
运行组策略编辑器（Win+R，输入gpedit.msc，打开组策略编辑器），依次浏览到：计算机配置/管理模板/打印机：
禁用“允许打印后台处理程序接受客户端连接：”策略以阻止远程攻击。
 
该临时缓解措施的影响：

此策略将通过阻止入站远程打印操作来阻止远程攻击。该系统将不再用作打印服务器，但仍然可以本地打印到直接连接的设备。

【备注】：建议您在升级前做好数据备份工作，避免出现意外

漏洞参考

更多详情参考：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527