Produto: ENS
- Regra de especialista:
A seguinte regra ENS expert pode impedir a exploração e permitir o monitoramento dessa vulnerabilidade. Essa regra detecta quando os arquivos são gravados do serviço de spool no diretório que explorações conhecidas estão usando para descartar arquivos nos sistemas de vítimas.
NOTA: Antes de implementar a recomendação abaixo, você deve testar a regra completamente. Testes minuciosos garantem a integridade da regra. Também garante que nenhum aplicativo legítimo, desenvolvido internamente ou, de outra forma, seja considerado malicioso e impedido de funcionar em seu ambiente de produção. Você pode definir a regra sugerida no modo somente de relatório para fins de teste a fim de verificar se ele causa qualquer conflito em seu ambiente e monitor para o comportamento de destino sem bloqueio. Depois de determinar que a regra não bloqueia nenhuma atividade de aplicativos legítimos, você pode definir a regra para bloquear e aplicar a configuração aos sistemas relevantes.
Rule class : Files
Rule {
Process {
Include OBJECT_NAME { -v "spoolsv.exe" }
}
Target {
Match FILE {
Include OBJECT_NAME { -v "%systemroot%\\System32\\spool\\drivers\\**\\New\\*.dll" }
Include OBJECT_NAME { -v "%systemroot%\\System32\\spool\\drivers\\**\\Old\\*\\*.dll" }
Include -access "CREATE"
}
}
}
- Prevenção de conteúdo do Exploit Prevention 6210:
Você pode ativar a assinatura de conteúdo 6210 da prevenção de exploração para detectar tentativas por spoolsv.exe para carregar uma DLL maliciosa que pode ser usada para obter a execução remota de código ou o escalonamento de privilégios locais. Esse comportamento ocorre com a vulnerabilidade de multipesadelo.
Produto: MVISION EDR
Geramos MVISION EDR regras 3.4.0.461 para detectar os comportamentos da exploração dessa vulnerabilidade; elas estão disponíveis no catálogo do software ePO. Recomendamos que você distribua esse pacote de conteúdo nos pontos de extremidade MVISION EDR 3.4 e ele se tornará ativo nos pontos de extremidade na próxima reinicialização. As regras 3.4.0.461 de MVISION EDR já foram distribuídas para MVISION ePO pontos de extremidade do EDR.
As detecções de multipesadelos em regras 3.4.0.461 do EDR serão exibidas no monitoramento do EDR.
Produto: plataforma de segurança de rede
Versão do Sigset: 10.8.22.7
ID de ataque: 0x43c0f400
Nome do ataque: NETBIOS-SS: Windows vulnerabilidade de RCE do serviço de spooler de impressão, sem imprimir (CVE-2021-34527)
Data de lançamento: 6 de julho de 2021.
NOTA: Essa assinatura não é capaz de detectar uma exploração que ocorrerá por tráfego de SMB criptografado. Esse problema é aplicável ao SMBv3, onde a criptografia está ativada por padrão.
Produto: VirusScan Enterprise (VSE)
Você pode implementar as seguintes regras de proteção de acesso (PA) para reduzir o comportamento da exploração, impedindo o acesso de gravação aos diretórios que a técnica do spooler de impressão usa.
NOTA: Ao criar uma regra de ponto de acesso definida pelo usuário no VSE, um asterisco (*) é previamente preenchido nos processos a serem incluídos, e deve ser removido e substituídos por spoolsv.exe. Recomendamos que você teste exaustivamente a regra para garantir a integridade e certifique-se de que não haja conflitos de aplicativos.
| Novo tipo de regra |
Regra de bloqueio de arquivo/pasta |
| Nome da regra |
Impedir que novos arquivos sejam criados ou gravados por Spoolsv.exe no diretório de drivers antigos |
| Processos a serem incluídos |
Spoolsv.exe |
| Processos a serem excluídos |
<blank> |
| Nome do arquivo ou pasta a ser bloqueado |
%systemroot%\System32\spool\drivers\**\Old\* |
| Ações de arquivo a serem impedidas |
Acesso para gravação a arquivos
Novos arquivos sejam criados
|
| Novo tipo de regra |
Regra de bloqueio de arquivo/pasta |
| Nome da regra |
Impedir que novos arquivos sejam criados ou gravados por Spoolsv.exe no diretório novos drivers |
| Processos a serem incluídos |
Spoolsv.exe |
| Processos a serem excluídos |
<blank> |
| Nome do arquivo ou pasta a ser bloqueado |
%symroot%\System32\spool\drivers\**\New\* |
| Ações de arquivo a serem impedidas |
Acesso para gravação a arquivos
Novos arquivos sejam criados
|
Você pode usar a regra a seguir para bloquear
spoolsv.exe de criar arquivos nos caminhos que a técnica usa:
NOTA: Recomendamos que você teste exaustivamente a regra para garantir a integridade e certifique-se de que não haja conflitos de aplicativos.
Rule {
tag PrintNightmare_Custom_Rule
Class Files
Id 4001
level 4
attributes -v
files { Include "*\\System32\\spool\\drivers\\*\\New\\&.dll" "*\\System32\\spool\\drivers\\*\\Old\\&\\&.dll" }
Executable { Include { -path "*\\spoolsv.exe" } }
user_name { Include "*" }
directives files:create
}
Para obter mais informações sobre como implementar assinaturas personalizadas no host IPS, consulte o
Guia de produto do host IPS.
Outras recomendações:
Para desativar o Print Spooler por meio de objetos de política de grupo (GPOs) (recomendado para servidores, exceto servidores de impressão dedicados):
NOTA: A desativação do serviço de spooler de impressão desativa a capacidade de imprimir de forma local e remota.
- Para gerenciar essa configuração, modifique o GPO ou crie um GPO.
- Ao editar o GPO, vá para Configuração do computador de de Políticas de de Configurações de Windows de de Serviços do sistema de de Spooler de impressão.
- Clique com o botão direito do mouse no Spooler de impressão Opção de serviço do sistema e selecione Propriedades.
- Definir o Serviço do sistema até Disabled.
Para bloquear somente o vetor de ataque remoto, os administradores podem desativar a impressão remota de entrada por meio de GPOs (recomendado para estações de trabalho):
- Para gerenciar essa configuração, modifique o GPO ou crie um GPO.
- Ao editar o GPO, vá para Configuração do computador de de Modelos administrativos de de Impressoras.
- Clique com o botão direito do mouse no Permitir que o spooler de impressão aceite conexões de cliente opção de política e selecione Editar.
- Defina a política como Disabled.
