2021 年 6 月の CVE-2021-1675 および CVE-2021-34527 "PrintNightmare"の脆弱性対応
最終更新: 2023-02-22 22:51:14 Etc/GMT
常に適応し続ける XDR エコシステムが企業を活性化するしくみをお伝えします。
Trellix の CEO を務める Bryan Palma が、常に学習するセキュリティが決定的に必要であることを力説します。
Magic Quadrant で、19 のベンダーについてビジョンの完全性と実行能力が評価されました。レポートをダウンロードして詳細をご覧ください。
Gartner によると、XDR は脅威の防止、検出、応答を改善する可能性を秘めた新しい技術です。
2022 年に注意が必要なサイバー セキュリティ脅威は?
サイバー セキュリティ業界に安穏の時はありません。今こそ、この考え方を、ビジネスの活性化につながる利点として、また推進剤として念頭に置くべきです。
サイバー セキュリティの世界で信頼される二大リーダーが 1 つになって、耐久性の高いデジタル ワールドを実現します。
Trellix の CEO を務める Bryan Palma が、常に学習するセキュリティが決定的に必要であることを力説します。
As of May 14, 2024, Knowledge Base (KB) articles will only be published and updated in our new Trellix Thrive Knowledge space.
Log in to the Thrive Portal using your OKTA credentials and start searching the new space. Legacy KB IDs are indexed and you will be able to find them easily just by typing the legacy KB ID.
2021 年 6 月の CVE-2021-1675 および CVE-2021-34527 "PrintNightmare"の脆弱性対応
技術的な記事 ID:
KB94659
最終更新: 2023-02-22 22:51:14 Etc/GMT 環境
Microsoft Windows オペレーティングシステム
概要
重要: 2021 年 7 月 6 日の時点で、マイクロソフトは KB5005010 をリリースしました。これは、CVE-2021-34257 リモートコード実行に対処するための臨時アップデートです。 この更新により、組織はプリンタドライバーのインストールを管理者グループのみに制限できます。 マカフィーは、このアップデートをできるだけ早く適用することをお勧めします。
更なる情報は、次のマイクロソフト更新リリース情報を参照してください。KB5005010 - Restricting installation of new printer drivers after applying the July 6, 2021 updates マカフィーは、CVE-2021-1675、CVE-2021-34527、および関連する公開された概念実証コード(総称して「PrintNightmare」)を認識しています。識別された脆弱性に対応して、マカフィーは、悪用を防ぎ、この脆弱性の監視を可能にするエンドポイントセキュリティ(ENS)エキスパートルールを生成しました。 このルールは、既知のエクスプロイトが被害者のシステムにファイルをドロップするために使用しているディレクトリに、ファイルがスプールサービスから書き込まれるタイミングを検出します。 ENS エキスパートルールに加えて、軽減策としてプリントスプーラを無効にすることができます。 マカフィーでは、インフラストラクチャシステムで使用していないときは、環境のリスクを軽減するために、標準のセキュリティ対策としてプリントスプーラを無効にすることをお勧めします。 製品の対策については引き続き調査を行っており、詳細がわかり次第、この記事を更新します。 この記事を購読して、マカフィー製品による関連する脅威の範囲に関する最新情報を入手してください。 この記事が更新されたときに電子メール通知を受信するには、 契約を更新 ページの右側にあります。購読するには、ログインする必要があります。
回避策製品: Endpoint Security (ENS)ENS エキスパートルール:注: 以下の推奨事項を実装する前に、ルールを徹底的にテストする必要があります。 徹底的なテストにより、ルールの整合性が保証されます。 また、社内で開発された、またはその他の方法で、正当なアプリケーションが悪意のあるものと見なされて、実稼働環境で機能するのを妨げられないようにします。 提案されたルールをテスト目的でレポート専用モードに設定して、環境で競合が発生するかどうかを確認し、ブロックせずにターゲットの動作を監視できます。 ルールが正当なアプリケーションからのアクティビティをブロックしないことを確認したら、ブロックするようにルールを設定して、関連するシステムに設定を適用できます。
Target { Include OBJECT_NAME { -v "%systemroot%\\System32\\spool\\drivers\\**\\Old\\*\\*.dll" } Include -access "CREATE" 製品: MVISION EDRマカフィーは、この脆弱性の悪用の動作を検出するために MVISION EDR ルール 3.4.0.461 を生成しました。 それらは ePO ソフトウェアカタログから入手できます。 このコンテンツパッケージを MVISION EDR v3.4 エンドポイントに展開することをお勧めします。これにより、次回の再起動時にエンドポイントでアクティブになります。 MVISION EDR ルール 3.4.0.461 はすでに MVISION ePO EDR エンドポイントに展開されています。EDR ルール 3.4.0.461 での PrintNightmare 検出は、マカフィーがルールの重大度を確認したときに EDR モニタリングに表示されます。これは、24 時間以内に発生すると予想されます。 イベントが監視でライブになるまで、EDR 履歴検索インターフェイスで「検出とアラート」を監視することにより、EDR ユーザーはプロアクティブなアクションを実行できます。 この記事は、この変更が有効になると更新されます。 製品: Network Security Platform (NSP)シグネチャセット バージョン: 10.8.22.7Attack ID: 0x43c0f400 Attack Name: NETBIOS-SS: Windows Print Spooler Service RCE Vulnerability AKA PrintNightmare (CVE-2021-34527) リリース日: 2021 年 7 月 6 日 注: このシグニチャは、暗号化された SMB トラフィックで発生するエクスプロイトを検出できません。 これは、暗号化がデフォルトで有効になっている SMB v3 に適用されます。 製品: Virusscan Enterprise (VSE)次のアクセス保護ルールを実装して、印刷スプーラーによる手法で使用されるディレクトリへの書き込みアクセスを防止することにより、エクスプロイトの動作を軽減できます。
HIP の適用範囲と対策の情報は 2 4時間以内に追加される予定です。 |
|