Windows Print Spooler RCE Vulnerability (CVE-2021-34527 AKA PrintNightmare).
1 июля 2021 года Microsoft выпустила рекомендации по безопасности для новой уязвимости удаленного выполнения кода (RCE) в операционных системах Windows, CVE-2021-34527, публично известной как «PrintNightmare». Изначально исследователи безопасности полагали, что эта уязвимость связана с CVE-2021-1675 (уязвимостью удаленного выполнения кода диспетчера очереди печати Windows), которая была впервые раскрыта в выпуске исправлений Microsoft во вторник 8 июня 2021 года. С тех пор Microsoft обновила раздел часто задаваемых вопросов. Рекомендация, в которой показано, что CVE-2021-34527 похожа, но отличается от CVE-2021-1675, которая устраняет другую, но связанную уязвимость в RpcAddPrinterDriverEx ().
Этой уязвимости подвержены все версии операционных систем Windows – контроллеры домена, клиенты и рядовые серверы, на которых запущена служба диспетчера очереди печати. Microsoft выпустила внешнее обновление с исправлениями для версий, отличных от Windows 10 версии 1607, Windows Server 2016 или Windows Server 2012. Ожидается, что в ближайшее время будет выпущено обновление безопасности и для них.
Обратите внимание, что обновления безопасности, выпущенные 6 июля 2021 г. и позже, содержат средства защиты для CVE-2021-1675 и дополнительный эксплоит RCE в службе диспетчера очереди печати Windows, известный как «PrintNightmare», описанный в CVE-2021-34527.
Решения Palo Alto Networks обеспечивают защиту от эксплуатации этой уязвимости:
1. Межсетевые экраны следующего поколения с подпиской Threat Prevention (с запущенными приложениями и обновлением содержимого угроз версии 8427+) могут автоматически блокировать сеансы, связанные с этой уязвимостью (а также CVE-2021-1675), используя идентификаторы угроз 91333, 91346 и 91349.
2. Агент Cortex XDR 7.4.1 с версией содержимого 189-64538 и выше способен предотвращать все известные в настоящее время реализации эксплоитов на уязвимых узлах, включая исправленные узлы с включенной функцией «Point and Print».
Мы будем обновлять этот обзор угроз, добавляя новую информацию и рекомендации по мере их появления.
Купить Palo Alto PA-400 series
