概述

本文将讨论以下漏洞相关的信息：

背景知识

目前有两个值得注意的 CVE：

• 在 2021 年 6 月，识别出 Windows 打印后台处理程序中的远程代码执行（RCE）漏洞，并分配了 CVE-2021-1675。 
• 7 月 1 日，Microsoft 发布了关于 CVE-2021-34527 的建议。 媒体用“PrintNightmare”称呼此问题。 Microsoft 表示这个 CVE 是一个与 CVE-2021-1675 处理的缺陷不同的单独问题。

影响

此建议中披露的最显著漏洞是 CVE-2021-34527（PrintNightmare）。 这是一个影响 Windows 打印后台处理程序的远程代码执行漏洞，不需要系统上连接打印机就可以发动攻击。

CVE-2021-1675

利用 CVE-2021-1675 可能会使远程攻击者完全控制易受攻击的系统。 为了实现 RCE，攻击者需要瞄准经过认证的后台处理程序服务用户。 在未认证的情况下，该缺陷可能被利用以提升权限，使得该漏洞在攻击链中成为一个有价值的连接。

Microsoft 在 2021 年 6 月 8 日发布的安全更新中对 CVE-2021-1675 进行了处理。

CVE-2021-34527

CVE-2021-34527，宣布于 7 月 1 日，也是 Windows 打印后台处理程序服务中的一个远程代码执行漏洞。 成功利用该漏洞将使攻击者能够以 SYSTEM 权限执行任意代码，包括安装程序、查看/更改/删除数据或创建具有完全用户权限的新账户。 然而，这仍需要与 CVE-2021-1675 一样的认证用户账户。

攻击必须涉及一个经过认证的用户调用 RpcAddPrinterDriverEx()。

所有版本的 Windows 都可能容易受到攻击。

卡托 方案

为了保护我们的客户，Cato 已采取以下措施：

• 全球部署了一套入侵防护系统（IPS）签名来减轻这一漏洞威胁。
• 如果您启用了 Cato IPS，您将受到保护，无需手动配置更改（或更新 IPS 签名数据库）。 但是，我们建议您遵循供应商的建议以从源头减轻该漏洞。  
• 如果检测到符合 CVE-2021-1675 或 CVE-2021-34527 签名配置文件的未加密恶意流量，该流量将被阻止，并在 Cato 管理应用程序的 事件发现 窗口中生成证据记录。 

此外，我们建议您始终保持系统更新 Microsoft 的最新安全更新和供应商的缓解措施。 这可能有助于减轻可能出现的任何与 Microsoft 产品有关的附加漏洞。