Trend Micro hướng dẫn khắc phục lỗi PrinterNightmare (CVE-2021-1675 và CVE-2021-34527)

  • Created:
  • / Author: PACISOFT Help 8
Lượt xem: 560

TÓM TẮT

Thông tin được cập nhật ngày 08/07/2021: Thông tin bổ sung về Microsoft OOB

Bản vá bảo mật của Microsoft được phát hành trong tháng 07/2021, có bao gồm bản vá cho lỗi CVE-2021-1675, là một lỗi Print spooler của Windows. Thông tin bổ sung được công bố về lỗ hổng này, trên thực tế khiến nó có thể bị khai thác từ xa, và đã bị nhiều người gọi là “PrinterNightmare”.

Vào ngày 01/07/2021. Microsoft cũng công bố lỗi CVE-2021-34527, lỗi lỗ hổng thực thi mã từ xa trên Print Spooler của Windows (RCE). Lỗi CVE-2021-34527, hiện đang được đánh giá là khai thác tích cực trên trang của Microsoft.

Vào ngày 07/07/2021, Microsoft đã thông báo một Bản vá ngoài băng tần (OOB) quan trọng để giải quyết lỗi lỗ hổng RCE. Vào ngày 08/07/2021, các nền tảng bổ sung không được đề cập trước đó cũng được thêm vào.

CHI TIẾT

Giảm thiểu ảnh hưởng và bảo vệ người dùng

Điều đầu tiên và quan trọng nhất, tuyến đầu bảo vệ chống lại lỗ hổng này là để đảm bảo rằng các hệ thống bị ảnh hưởng được vá lại bằng bản cập nhật mới nhất và phương án giảm thiểu thiệt hại từ nhà cung cấp của Microsoft Đây tiếp tục là khuyến nghị chủ chốt để chống lại bất kì hoạt động khai thác nào có thể phát sinh từ các lỗ hổng này.

Phương án bảo vệ của Trend Micro

Để hỗ trợ khách hàng, Trend Micro đã tạo và phát hành một số lớp bảo vệ dưới dạng quy tắc và bộ lọc, việc này có thể giúp các tổ chức củng cố tình trạng bảo mật tổng thể của họ, nhất là trong các trường hợp mà việc vá lỗi toàn diện có thể mất thể gian hoặc không khả thi.

Các quy tắc IPS

Các quy tắc của Deep Security Cloud One – Workload Security, Vulnerability Protection Apex One Vulnerability Protection (iVP)

  • Rule 1011016– Xác định giao thức DCERPC AddPrinterDriverEx Call Over TCP
  • Rule 1011018– Xác định giao thức DCERPC AddPrinterDriverEx Call Over SMB

Xin lưu ý do tính chất của lỗ hổng bảo mật, một hàm / lệnh gọi hợp lệ của Windows (AddPrinterDriverEx), các Quy tắc Ngăn chặn Xâm nhập này được đặt thành DETECT theo mặc định. Việc này là để giảm thiểu khả năng phát hiện sai lệch trong môi trường CNTT. Trend Micro khuyến nghị các nhà quản lý CNTT xem xét và kiểm tra các quy tắc này trong môi trường CNTT của mình,  thay đổi thành PREVENT nếu cần.

Trend Micro Cloud One – Bộ lọc phát hiện lỗ hổng Network Security and TippingPoint ThreatDV

  • 39940: RPC: Phát hiện yêu cầu Microsoft Windows AddPrinterDriverEx

Các quy tắc Trend Micro Deep Discovery Inspector (DDI)

  • Rule 4588: CVE-2021-34527_SMB_POSSIBLE_RCE_REQUEST_SB
  • Rule 4589: CVE-2021-34527_DCE_POSSIBLE_RCE_REQUEST_SB

Các quy tắc kiểm tra / phát hiện khác

Kiểm tra nhật kí bảo mật Deep Security

  • Rule 1011017– Microsoft Windows – Không thành công tải Mô-đun plugin Print Spooler (PrintNightmare)

Trend micro đang tích cực xem xét các hình thức phát hiện và bảo vệ khác để hỗ trợ khách hàng của chúng tôi, nhưng chúng tôi muốn tiếp tục nhắc lại rằng khuyến nghị tiên quyết đó là cài các bản vá chính thức của Microsoft càng sớm càng tốt. Chúng tôi sẽ tiếp tục cập nhật chuyên đề này và đến khách hàng của chúng tôi nếu/ khi phát hiện các lớp bảo vệ bộ sung.

Nguồn tham khảo:

Biên dịch bởi Thanh Hiền – Help.pacisoft.com

Tagged: