Защита от уязвимости CVE-2021-34527 «PrintNightmare»

Windows Print Spooler RCE Vulnerability (CVE-2021-34527 AKA PrintNightmare).

1 июля 2021 года Microsoft выпустила рекомендации по безопасности для новой уязвимости удаленного выполнения кода (RCE) в операционных системах Windows, CVE-2021-34527, публично известной как «PrintNightmare». Изначально исследователи безопасности полагали, что эта уязвимость связана с CVE-2021-1675 (уязвимостью удаленного выполнения кода диспетчера очереди печати Windows), которая была впервые раскрыта в выпуске исправлений Microsoft во вторник 8 июня 2021 года. С тех пор Microsoft обновила раздел часто задаваемых вопросов. Рекомендация, в которой показано, что CVE-2021-34527 похожа, но отличается от CVE-2021-1675, которая устраняет другую, но связанную уязвимость в RpcAddPrinterDriverEx ().

Этой уязвимости подвержены все версии операционных систем Windows – контроллеры домена, клиенты и рядовые серверы, на которых запущена служба диспетчера очереди печати. Microsoft выпустила внешнее обновление с исправлениями для версий, отличных от Windows 10 версии 1607, Windows Server 2016 или Windows Server 2012. Ожидается, что в ближайшее время будет выпущено обновление безопасности и для них.

6 июля 2021 г. Microsoft выпустила обновление для системы безопасности по дополнительному каналу для устранения этой уязвимости. Соответствующее обновление для вашей системы Security Updates. Администраторам настоятельно рекомендуется установить эти обновления. Если вы не можете установить эти обновления, смотрите разделы часто задаваемых вопросов и обходные пути в CVE для получения информации о том, как помочь защитить вашу систему от этой уязвимости. Смотрите также KB5005010: Ограничение установки новых драйверов принтера после применения обновлений от 6 июля 2021 г.

Обратите внимание, что обновления безопасности, выпущенные 6 июля 2021 г. и позже, содержат средства защиты для CVE-2021-1675 и дополнительный эксплоит RCE в службе диспетчера очереди печати Windows, известный как «PrintNightmare», описанный в CVE-2021-34527.

Решения Palo Alto Networks обеспечивают защиту от эксплуатации этой уязвимости:

1. Межсетевые экраны следующего поколения с подпиской Threat Prevention (с запущенными приложениями и обновлением содержимого угроз версии 8427+) могут автоматически блокировать сеансы, связанные с этой уязвимостью (а также CVE-2021-1675), используя идентификаторы угроз 91333, 91346 и 91349.
2. Агент Cortex XDR 7.4.1 с версией содержимого 189-64538 и выше способен предотвращать все известные в настоящее время реализации эксплоитов на уязвимых узлах, включая исправленные узлы с включенной функцией «Point and Print».

Мы будем обновлять этот обзор угроз, добавляя новую информацию и рекомендации по мере их появления.

Защита от уязвимости CVE-2021-34527, публично известной как «PrintNightmare»

Купить Palo Alto PA-400 series