製品: Endpoint Security (ENS)
ENS エキスパートルール:
注: 以下の推奨事項を実装する前に、ルールを徹底的にテストする必要があります。 徹底的なテストにより、ルールの整合性が保証されます。 また、社内で開発された、またはその他の方法で、正当なアプリケーションが悪意のあるものと見なされて、実稼働環境で機能するのを妨げられないようにします。 提案されたルールをテスト目的でレポート専用モードに設定して、環境で競合が発生するかどうかを確認し、ブロックせずにターゲットの動作を監視できます。 ルールが正当なアプリケーションからのアクティビティをブロックしないことを確認したら、ブロックするようにルールを設定して、関連するシステムに設定を適用できます。
Rule class : Files
Rule {
Process {
Include OBJECT_NAME { -v "spoolsv.exe" }
}
Target {
Match FILE {
Include OBJECT_NAME { -v "%systemroot%\\System32\\spool\\drivers\\**\\New\\*.dll" }
Include OBJECT_NAME { -v "%systemroot%\\System32\\spool\\drivers\\**\\Old\\*\\*.dll" }
Include -access "CREATE"
}
}
}
製品: MVISION EDR
マカフィーは、この脆弱性の悪用の動作を検出するために MVISION EDR ルール 3.4.0.461 を生成しました。 それらは ePO ソフトウェアカタログから入手できます。 このコンテンツパッケージを MVISION EDR v3.4 エンドポイントに展開することをお勧めします。これにより、次回の再起動時にエンドポイントでアクティブになります。 MVISION EDR ルール 3.4.0.461 はすでに MVISION ePO EDR エンドポイントに展開されています。
EDR ルール 3.4.0.461 での PrintNightmare 検出は、マカフィーがルールの重大度を確認したときに EDR モニタリングに表示されます。これは、24 時間以内に発生すると予想されます。 イベントが監視でライブになるまで、EDR 履歴検索インターフェイスで「検出とアラート」を監視することにより、EDR ユーザーはプロアクティブなアクションを実行できます。 この記事は、この変更が有効になると更新されます。
製品: Network Security Platform (NSP)
シグネチャセット バージョン: 10.8.22.7
Attack ID: 0x43c0f400
Attack Name: NETBIOS-SS: Windows Print Spooler Service RCE Vulnerability AKA PrintNightmare (CVE-2021-34527)
リリース日: 2021 年 7 月 6 日
注: このシグニチャは、暗号化された SMB トラフィックで発生するエクスプロイトを検出できません。 これは、暗号化がデフォルトで有効になっている SMB v3 に適用されます。
製品: Virusscan Enterprise (VSE)
次のアクセス保護ルールを実装して、印刷スプーラーによる手法で使用されるディレクトリへの書き込みアクセスを防止することにより、エクスプロイトの動作を軽減できます。
注:VSE でユーザー定義のアクセス保護ルールを作成する場合、アスタリスク(*)がプロセスに事前入力されて含まれるため、削除して spoolsv.exe に置き換える必要があります。 ルールを徹底的にテストして、整合性を確保し、アプリケーションの競合がないことを確認することをお勧めします。
| 新規のルールタイプ |
ファイル/フォルダのブロックルール |
| ルール名: |
古いドライバディレクトリ内の Spoolsv.exe による新しいファイルの作成または書き込みをブロック |
| 組み入れるプロセス: |
Spoolsv.exe |
| 除外するプロセス: |
空欄 |
| ブロックするファイルまたはフォルダ名: |
%systemroot%\System32\spool\drivers\**\Old\* |
| 禁止するファイル アクション: |
ファイルに対する書き込みアクセス
新規ファイルの作成
|
| 新規のルールタイプ |
ファイル/フォルダのブロックルール |
| ルール名: |
新しいファイルが Spoolsv.exe によって新しいドライバディレクトリで作成または書き込まれるのをブロック |
| 組み入れるプロセス: |
Spoolsv.exe |
| 除外するプロセス: |
空欄 |
| ブロックするファイルまたはフォルダ名: |
%systemroot%\System32\spool\drivers\**\New\* |
| 禁止するファイル アクション: |
ファイルに対する書き込みアクセス
新規ファイルの作成 |
製品: Host Intrusion Prevention (HIPs)
HIP の適用範囲と対策の情報は 2 4時間以内に追加される予定です。
追加推奨:
グループポリシーオブジェクトを介してプリントスプーラを無効にするには(専用のプリントサーバーを除くサーバーに推奨):
注: プリントスプーラサービスを無効にすると、ローカルとリモートの両方で印刷する機能が無効になります。
- この設定を管理するには、グローバルポリシーオブジェクト(GPO)を変更するか、GPO を作成します。
- GPO を編集する際は、コンピュータの設定、ポリシー、Windows 設定、システム サービス、プリント スプーラ に進みます。
- プリント スプーラ システムサービスオプションを右クリックし、プロパティ を選択します。
- システム サービス を 無効 に設定します。
リモート攻撃ベクトルのみをブロックするために、管理者はグループポリシーオブジェクトを介してインバウンドリモート印刷を無効にすることができます(ワークステーションに推奨):
- この設定を管理するには、グローバルポリシーオブジェクト(GPO)を変更するか、GPO を作成します。
- GPO を編集する際は、コンピュータの設定、管理者テンプレート、プリンタ に進みます。
- プリント スプーラがクライアント接続を受け入れることを許可する ポリシーオプションを右クリックし、編集 を選択します。
- ポリシーを 無効 に設定します。
