一、漏洞详情

Windows Print Spooler是Windows的打印机后台处理程序，广泛的应用于各种内网中。

微软发布的安全公告中，披露了一个新的Windows Print Spooler远程代码执行漏洞，漏洞CVE编号：CVE-2021-36958。当Windows Print Spooler服务不正确地执行特权文件操作时，存在远程代码执行漏洞。成功利用该漏洞的攻击者可以使用SYSTEM权限运行任意代码。然后攻击者可以安装程序；查看、更改或删除数据；或创建具有完全用户权限的新账户。目前该漏洞为0day状态，微软暂未发布修复补丁，但针对该漏洞给出临时缓解方法。

建议广大用户及时通过临时防护方法缓解漏洞风险，并做好资产自查以及预防工作，以免遭受黑客攻击。

二、影响范围

在微软通告中暂未列出影响的Windows版本，目前正在调查确认中。

三、修复建议

目前微软暂未发布修复补丁，建议通过停止并禁用Print Spooler服务暂时缓解漏洞影响，但此方法将会影响本地和远程打印功能的使用。

临时缓解方法：

1. 检查Print Spooler服务是否在运行

在PowerShell中执行如下命令检查：

Get-Service -Name Spooler

如果Print Spooler正在运行或未禁用该服务，请执行以下步骤：

2. 停止和禁用Print Spooler服务

在PowerShell中执行如下命令关闭和禁用print Spooler服务：

Stop-Service -Name Spooler -Force

Set-Service -Name Spooler -StartupType Disabled

参考链接：https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36958