知识文档

漏洞风险描述:Windows 打印后台处理程序远程代码执行漏洞 (CVE-2021-34527)

当 Windows 打印后台处理程序服务不正确地执行特权文件操作时,存在远程执行代码漏洞。成功利用此漏洞的攻击者可以使用系统特权运行任意代码。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。

解决方法

Powershell

运行PowerShell:Win+X,选择以管理员身份运行命令行或 Windows Terminal;
确定打印后台处理程序服务是否正在运行:

1
Get-Service -Name Spooler

关闭并禁用打印后台处理程序服务:

1
2
Stop-Service -Name Spooler -Force
Set-Service -Name Spooler -StartupType Disabled

注意:禁用打印后台处理程序服务会禁用本地和远程打印功能

手动关闭

ansible role远程关闭

Windows端需要提前进行环境配置,文档请参考ansible 远程Windows主机

配置inventory hosts:

1
2
3
4
5
6
# windows需要的主机变量
ansible_ssh_user: 
ansible_ssh_password: 
ansible_ssh_port: 5986
ansible_connection: winrm
ansible_winrm_server_cert_validation: ignore

模块使用:$ansible-doc win_command,tasks的执行语句如下:

1
2
3
4
5
6
7
8
9
- name: Windows Print Spooler - Stop
  win_command: powershell.exe -
  args:
    stdin: Stop-Service -Name Spooler -Force

- name: Windows Print Spooler - Disabled
  win_command: powershell.exe -
  args:
    stdin: Set-Service -Name Spooler -StartupType Disabled