近期，Windows Print Spooler（打印后台处理程序）相关多个高危漏洞持续被披露，包括CVE-2025-38089、CVE-2021-1675等重点漏洞，其中部分漏洞CVSS评分高达9.8，属于CRITICAL级别。该服务作为Windows系统默认启用的核心组件，因驱动加载权限验证缺陷、输入校验缺失等问题，攻击者可通过构造恶意打印请求或滥用RpcAddPrinterDriverEx()函数，远程执行任意代码或提升至SYSTEM权限，进而控制目标系统、窃取敏感数据或横向渗透内网，对个人及企业IT环境构成严重威胁。为保障系统安全，现发布本应急通告。

　　一、漏洞核心风险与影响范围

　（一）关键漏洞危害

　　1. 远程代码执行：攻击者无需用户交互，通过网络发送特制打印请求至目标系统445端口（SMB），即可触发内存损坏，以系统权限执行恶意代码。

　　2. 权限提升：域环境中普通用户可利用漏洞向域控制器添加恶意驱动，实现全域权限接管。

　　3. 服务瘫痪：部分漏洞（如CVE-2025-49722）可导致打印服务资源耗尽，引发拒绝服务（DoS），影响正常打印功能。

　（二）受影响产品版本

　　覆盖Windows 7至Windows 11全系列客户端系统，以及Windows Server 2008至2025全系列服务器版本，包括Server Core精简安装版，默认启用Print Spooler服务的设备均存在风险。

　　二、应急修复与防护措施

　（一）优先安装安全补丁

　　立即通过Windows Update、Microsoft Update Catalog或企业部署工具（如SCCM）安装对应补丁：CVE-2025-38089需安装2025年4月累积更新；CVE-2021-1675等PrintNightmare家族漏洞需安装KB5004945及后续更新，确保修复驱动加载校验缺陷。

　（二）临时缓解措施（无法立即升级时）

　　1. 禁用Print Spooler服务：无需打印功能的设备，以管理员权限执行命令“Stop-Service -Name Spooler -Force”停止服务，再用“Set-Service -Name Spooler -StartupType Disabled”禁用开机启动；或通过“services.msc”手动设置服务启动类型为“禁用”。

　　2. 限制网络访问：通过防火墙配置规则，阻断外部对445端口的访问，仅允许可信IP段连接打印服务。

　　3. 强化权限控制：通过组策略限制普通用户“加载和卸载设备驱动程序”权限，删除Users组的相关权限分配。

　（三）长期防护策略

　　1. 监控异常行为：启用PrintService日志审计，重点监测事件ID 316（异常驱动加载）及spoolsv.exe进程的可疑子进程。

　　2. 网络分段隔离：将打印服务器与关键业务服务器分段部署，限制漏洞利用后的横向渗透路径。

　　3. 定期安全扫描：使用漏洞扫描工具排查未打补丁的设备，及时发现潜在风险。

　　三、注意事项

　　1. 补丁安装前需在测试环境验证兼容性，避免影响业务系统运行；域控制器需优先完成修复，防范全域沦陷风险。

　　2. 若发现打印服务异常崩溃、不明进程执行等情况，立即隔离受影响设备，排查恶意代码残留。

　　3. 持续关注微软官方安全公告，及时获取新增漏洞的修复方案。

　　请各单位及个人于5个工作日内完成全量受影响设备的漏洞修复与配置加固，建立常态化补丁管理机制，从根源防范Print Spooler相关漏洞攻击。

　　特此通告。