7月1日,微软发布高危打印服务漏洞(CVE-2021-34527),攻击者可直接获取域控SYSTEM权限,在域控制器上执行任意代码,从而控制整个域环境,可能造成严重危害。微软于昨日发布相关补丁(未发布的更新微软已于今日发布),我们也同步进行了紧急升级,用户可以通过“漏洞修复”功能进行修复。
仍需注意的是,不方便进行漏洞修复的用户,如果使用关闭”Print Spooler”服务的方式缓解,将会影响打印机的使用。由此,我们对火绒产品【横向渗透防护】功能进行了升级,新增“远程打印机添加”防护项,可以阻止通过RPC添加打印机驱动的风险操作。因为CVE-2021-34527漏洞是利用了“远程添加打印机”发起的攻击,所以在开启该防护项后,可以阻止漏洞攻击,并且通过日志溯源攻击源IP。(如下图)
用户将火绒产品更新到最新版,即默认开启该防护项。
下面是该功能的漏洞拦截演示:
《火绒“横向渗透防护”功能拦截CVE-2021-34527漏洞攻击》
除漏洞以外,勒索病毒、后门程序、蠕虫病毒等高危病毒也会使用横向渗透入侵企业内网。由于横向渗透攻击面广,成功入侵一台主机后,将意味着局域网内大量终端被攻击。尤其对终端数量较多的企业影响较大。
“火绒安全软件5.0”以及“火绒终端安全管理系统2.0”产品都具备【横向渗透防护】功能,可以阻断局域网内已存在的渗透威胁,做到终端之间相互隔绝已有的攻击,杜绝“横向”传播的可能;还可以做到追本溯源,找到已被黑客控制并作为渗透的跳板终端,及时终止渗透行为。
我们建议用户开启该功能以防御横向渗透入侵。同时,我们也会不断的对产品和功能进行升级,给用户提供全方位的安全防护。
相关内容:
《Windows 打印服务风险通告(CVE-2021-34527)》
《CVE-2021-1675(Windows Print Spooler 远程命令执行漏洞)漏洞通告 | PoC公开》
《CVE-2021-34527|微软发布打印机漏洞补丁 火绒工程师提醒用户尽快修复》