目前，根据微软公告显示，该漏洞（CVE-2021-36958）已公开披露，与7月初的Windows Print Spooler 远程代码执行漏洞性质类似，目前尚无更多细节公开，且没有安全补丁。此外，有报告显示“Magniber”勒索软件组织正在试图利用该漏洞发起勒索攻击。在此提醒各行业单位及时做好资产自查以及预防工作，以免遭受黑客攻击。

漏洞详情

漏洞编号：CVE-2021-36958

危害等级：高

当 Windows Print Spooler 服务不正确地执行特权文件操作时，存在远程代码执行漏洞。成功利用此漏洞的攻击者可以使用 SYSTEM 权限运行任意代码。然后攻击者可以安装程序；查看、更改或删除数据；或创建具有完全用户权限的新帐户。

包含该漏洞的代码可能存在于所有版本的 Windows和Windows Server 中，微软仍在调查是否在以下所有版本都可以利用：

该漏洞广泛的存在于各Windows版本中，利用复杂度低，利用价值极高。目前正式补丁尚未发布，微软公司给出了以下临时缓解办法：

以域管理员身份运行以下命令：Get-Service -Name Spooler（确定 Print Spooler 服务是否正在运行）

如果 Print Spooler 正在运行或该服务未设置为禁用，可选择以下选项以禁用 Print Spooler 服务，或通过组策略按需配置使用打印功能：

选项一：禁用 Print Spooler 服务。

PowerShell 命令：

Stop-Service -Name Spooler -Force
Set-Service -Name Spooler -StartupType Disabled

（注：此选项禁用 Print Spooler 服务会禁用本地和远程打印功能。）

选项二：通过组策略禁用入站远程打印。

运行组策略编辑器（Win+R，输入gpedit.msc，打开组策略编辑器）依次浏览计算机配置/管理模板/打印机：禁用 “允许打印后台处理程序接受客户端连接：” 策略以阻止远程攻击。
（注：此策略将通过阻止入站远程打印操作来阻止远程攻击。该系统将不再用作打印服务器，但仍然可以本地打印到直接连接的设备。）

选项三：通过“Package Point and print - Approved servers”组策略配置使用打印功能白名单。

运行组策略编辑器（Win+R，输入gpedit.msc，打开组策略编辑器）依次浏览计算机配置/管理模板/打印机/程序包指向并打印 – 批准的服务器：启用该策略并输入允许用作打印服务器的服务器列表。
（注：使用此组策略将针对此漏洞提供最佳保护，但不会阻止威胁行为者使用恶意驱动程序接管允许的打印服务器。）