Produit : ENS

• Règle de l’expert :
  La règle d’experts ENS suivante peut empêcher toute exploitation et permettre la surveillance de cette vulnérabilité. Cette règle détecte lorsque des fichiers sont écrits à partir du service de mise en file d’attente dans le répertoire que les exploits connus utilisent pour déposer des fichiers sur les systèmes infectés.
  
  REMARQUE : Avant d’appliquer la recommandation ci-dessous, vous devez tester la règle de manière approfondie. Les tests approfondis garantissent l’intégrité des règles. Il s’assure également qu’aucune application légitime, développée ou non, n’est considérée comme malveillante et empêchant son fonctionnement dans votre environnement de production. Vous pouvez définir la règle suggérée en mode rapport uniquement à des fins de test pour vérifier si elle est à l’origine d’un conflit dans votre environnement et pour surveiller le comportement cible sans bloquer. Une fois que vous avez déterminé que la règle ne bloque aucune activité provenant d’applications légitimes, vous pouvez définir la règle de manière à bloquer et à appliquer le paramètre aux systèmes concernés.
  
  Rule class : Files
  
  Rule {
  Process {
  Include OBJECT_NAME { -v "spoolsv.exe" }
  }
  Target {
  Match FILE {
  Include OBJECT_NAME { -v "%systemroot%\\System32\\spool\\drivers\\**\\New\\*.dll" }
  Include OBJECT_NAME { -v "%systemroot%\\System32\\spool\\drivers\\**\\Old\\*\\*.dll" }
  Include -access "CREATE"
  }
  }
  }
  
  
• Signature du contenu de la prévention contre les exploits 6210 :
  Vous pouvez activer la prévention contre les exploits signature de contenu 6210 pour détecter les tentatives par spoolsv.exe charger une DLL malveillante qui peut être utilisée pour l’exécution de code à distance ou l’élévation des privilèges locaux. Ce problème se produit avec la vulnérabilité PrintNightmare.

Produit : MVISION EDR
Nous avons généré MVISION EDR des règles 3.4.0.461 pour détecter les comportements de l’exploitation de cette vulnérabilité ; elles sont disponibles dans le catalogue de logiciels ePO. Nous vous recommandons de déployer ce contenu package vers MVISION EDR 3.4 postes clients, et celui-ci sera actif sur les postes clients lors du prochain redémarrage. Les règles 3.4.0.461 Mvision EDR ont déjà été déployées sur Mvision ePO EDR postes clients.

Les détections PrintNightmare au cours de la règle 3.4.0.461 EDR s’affichent dans la surveillance EDR.

Produit : Network Security Platform
Version de Sigset : 10.8.22.7
ID d’attaque : 0x43c0f400
Nom de l’attaque : NETBIOS-SS : Windows la vulnérabilité de type RCE du service de spouleur d’impression alias PrintNightmare (CVE-2021-34527)
Date de publication : 6 juillet 2021.

REMARQUE : Cette signature ne peut pas détecter un exploit qui se produisait sur le trafic SMB chiffré. Ce problème est applicable à SMBv3, où le chiffrement est activé par défaut.

Produit : VirusScan Enterprise (VSE)

Vous pouvez mettre en œuvre les règles de protection de l’accès suivantes pour atténuer exploit comportement en empêchant l’accès en écriture aux répertoires utilisés par la technique du spouleur d’impression.

REMARQUE : Lors de la création d’une règle AP définie par l’utilisateur dans VSE, un astérisque (*) est pré-rempli dans les processus à inclure, et doit être supprimé et remplacé par spoolsv.exe. Il est conseillé de tester minutieusement la règle pour garantir l’intégrité et vérifier qu’il n’y a aucun conflit application.

Produit : Host Intrusion Prevention (Host IPS)
Vous pouvez utiliser la règle suivante pour bloquer spoolsv.exe a partir de la création de fichiers dans les chemins d’accès que la technique utilise :

REMARQUE : Il est conseillé de tester minutieusement la règle pour garantir l’intégrité et vérifier qu’il n’y a aucun conflit application.

Rule {
tag PrintNightmare_Custom_Rule
Class Files
Id 4001
level 4
attributes -v
files { Include "*\\System32\\spool\\drivers\\*\\New\\&.dll" "*\\System32\\spool\\drivers\\*\\Old\\&\\&.dll" }
Executable { Include { -path "*\\spoolsv.exe" } }
user_name { Include "*" }
directives files:create
}

Pour plus d’informations sur l’implémentation de signatures personnalisées dans Host IPS, reportez-vous à la section Guide produit de Host IPS.

Autres recommandations :

Pour désactiver PrintSpooler via les objets stratégie de groupe (GPO) (recommandé pour les serveurs, à l’exception des serveurs d’impression dédiés) :

REMARQUE : La désactivation du service spouleur d’impression désactive la possibilité d’imprimer à la fois localement et à distance.

1. Pour gérer ce paramètre, modifiez votre GPO ou créez un GPO.
2. Lorsque vous modifiez la GPO, accédez à Configuration ordinateur, Stratégies, Paramètres Windows, Services système, Spouleur d'impression.
3. Cliquez avec le bouton droit sur le Spouleur d'impression Option de service système, puis sélectionnez Propriétés.
4. Définir la Service système à Désactivé.

Pour bloquer uniquement le vecteur d’attaque à distance, les administrateurs peuvent désactiver l’impression à distance entrante via les objets de stratégie de groupe (recommandé pour les postes de travail) :

1. Pour gérer ce paramètre, modifiez votre GPO ou créez un GPO.
2. Lorsque vous modifiez la GPO, accédez à Configuration ordinateur, Modèles d'administration, Imprimantes.
3. Cliquez avec le bouton droit sur le Autoriser le spouleur d’impression à accepter les connexions client option de stratégie, puis sélectionnez Modifier.
4. Définir la stratégie sur Désactivé.