CVE-2021-1675 — 神龙十问 AI 深度分析摘要
CVSS 7.8 · High
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:Windows 打印后台处理程序 (Print Spooler) 存在安全漏洞。 💥 **后果**:攻击者可远程执行代码 (RCE),完全控制受影响系统。
Q2根本原因?(CWE/缺陷点)
🔍 **缺陷点**:打印后台处理程序组件处理请求时存在逻辑缺陷。 📝 **CWE**:数据中未提供具体 CWE ID,但核心在于 **DLL 注入/加载机制** 被滥用。
Q3影响谁?(版本/组件)
🖥️ **受影响组件**:Microsoft Windows Print Spooler Components。 📦 **具体版本**:Windows 10 Version 1809 (32-bit, x64, AR)。
Q4黑客能干啥?(权限/数据)
👑 **权限提升**:可获取 **SYSTEM** 级别权限。 📂 **数据风险**:完全控制主机,可窃取数据、安装后门、横向移动。
Q5利用门槛高吗?(认证/配置)
🔑 **利用门槛**:中等。 📝 **条件**:无需用户交互 (UI:R 在 CVSS 中通常指需用户操作,但 PrintNightmare 实际多为远程利用,此处 CVSS 显示 PR:N 表示无需权限,UI:R 可能指特定触发场景,但已知 PoC 支持远程 DLL 注入)。
Q6有现成Exp吗?(PoC/在野利用)
💣 **现成 Exp**:有! 🔗 **GitHub 资源**:cube0x0 (C#/Impacket), yu2u, evilashz (LPE) 等均提供 PoC 和 exploit。
Q7怎么自查?(特征/扫描)
🔎 **自查特征**: 1. 检查注册表:`HKLM\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint` 2. 若存在特定策略值,可能仍受漏洞影响。 3. 监控 EVTX 日志中的异常打印驱动加载。
Q8官方修了吗?(补丁/缓解)
🛡️ **官方补丁**:已发布。 📅 **时间**:2021年6月8日左右。 ⚠️ **注意**:补丁修复了 RCE,但 **本地权限提升 (LPE)** 可能未完全修复,需结合缓解措施。
Q9没补丁咋办?(临时规避)
🚧 **临时规避**: 1. 应用微软提供的注册表缓解策略。 2. 禁用 Print Spooler 服务(若业务允许)。 3. 限制 PointAndPrint 策略配置。
Q10急不急?(优先级建议)
🔥 **优先级**:**极高 (Critical)**。 💡 **建议**:立即修补 RCE 漏洞,并实施本地权限提升的缓解措施,防止攻击者提权至 SYSTEM。