Windows 打印服务0Day漏洞风险通告，请尽早防御

在微软的最新公告中，于2021年7月1日提前发布了Windows Print Spooler的远程代码执行漏洞，编号为CVE-2021-34527。这个漏洞与CVE-2021-1675漏洞有所相似但又有其独特之处，CVE-2021-1675漏洞已于同年六月份的安全更新中得到解决。

这个远程代码执行漏洞出现在Windows Print Spooler服务在执行特权文件操作时存在缺陷，一旦成功利用此漏洞，攻击者就可以使用SYSTEM权限运行任意代码。这意味着攻击者可以安装程序、查看或修改数据、甚至创建全新账户，拥有完整的用户权限。值得注意的是，这个攻击必须涉及经过身份验证的用户调用RpcAddPrinterDriverEx()。

微软把这个漏洞评为“严重”，并指出该漏洞对所有版本的Windows都产生影响，目前仍在调查是否所有版本都可利用此漏洞。值得注意的是，微软已经公开了这个漏洞的存在，并疑似已经出现了在野利用的情况，但概念验证代码尚未公开。

对于如何解决这一漏洞，微软给出了一些缓解办法，但目前尚未发布正式补丁。一种方法是检查Print Spooler服务是否在运行，并以域管理员身份运行特定命令。如果Print Spooler正在运行或该服务未设置为禁用状态，可以选择通过PowerShell命令禁用Print Spooler服务或通过组策略禁用入站远程打印。其中，禁用Print Spooler服务会停止本地和远程打印功能。另一种方法是通过组策略编辑器找到特定路径并禁用“允许打印后台程序接受客户端连接”策略，以阻止远程攻击。

这种策略虽然能阻止远程攻击，但会对系统产生影响。选择禁用入站远程打印操作的策略将使得该系统无法再作为打印服务器使用，但本地连接到设备仍然可以打印。这一策略的影响可以参考相关链接或原文进行深入了解。同时提醒广大用户注意网络安全，关注微软等官方渠道的安全公告以保护自身数据安全。