Kritieke kwetsbaarheid in Windows: “PrintNightmare”. Dit is wat je kunt doen

Er is een kritieke kwetsbaarheid ontdekt in Windows met het kenmerk CVE-2021-34527. Lees hier welke maatregelen je kunt treffen.

Over PrintNightmare

PrintNightmare is een kritieke kwetsbaarheid voor het uitvoeren van externe code (CVE-2021-34527) in Windows Print Spooler waarmee aanvallers bevoegdheden kunnen verhogen, programma’s kunnen installeren, gegevens kunnen wijzigen of nieuwe accounts met volledige gebruikersrechten kunnen maken op getroffen systemen, waaronder Domain Controllers. De code achter deze fout is aanwezig in alle versies van Windows en er is een actieve exploit aanwezig. Naast de richtlijnen voor mitigatie van Microsoft vind je hieronder een overzicht van hoe je de bescherming proactief kunt aanpassen met de McAfee producten en je bedrijf beter kunt beschermen tegen mogelijke aanvallen die gebruik maken van dit beveiligingslek.

Maatregelen Microsoft

De Print Spooler Service staat standaard ingeschakeld op windows systemen en windows server systemen. Om te voorkomen dat aanvallers toegang en rechten tot deze systemen kunnen krijgen adviseert Microsoft het volgende:

  1. Schakel de Print Spooler-service waar mogelijk voorlopig uit. Op de website van Microsoft lees je hoe je dit kunt doen. Het gevolg is dat het hierdoor niet meer mogelijk is om lokaal of op afstand te printen. Is het niet haalbaar om op bepaalde systemen de Print Spooler-service uit te zetten? Zorg er dan wel voor dat remote toegang tot deze servers niet mogelijk is. Hoe je dit doet lees je bij optie 2 op de website van Microsoft.
  2. Installeer de beveiligingsupdates. Houd de website van Microsoft goed in de gaten voor nieuwe updates en informatie over PrintNightmare.

Maatregelen Endpoint Security

De meeste beveiligingsfabrikanten brengen via hun website advies uit over welke technische maatregelen je kunt doorvoeren. MyDigitals is McAfee Platinum Support Partner en daarom vind je hieronder meer informatie over welke aanpassingen je kunt doorvoeren vanuit je McAfee omgeving.

 

Verdediging tegen initiële toegang – ENS met Global Threat Intelligence

Aanvallers hebben toegang tot je netwerk nodig om de kwetsbaarheid te misbruiken. We kunnen aannemen dat veelvoorkomende technieken zoals Spearphishing zullen worden gebruikt om payloads te leveren. Voor bescherming tegen bekende payloads schakel je GTI in voor zowel Threat Prevention als Adaptive Threat Protection-modules. Zorg ervoor dat ATP-regels 4 (GTI-bestandsreputatie) en 5 (URL-reputatie) zijn ingeschakeld in ATP. Global Threat Intelligence is bijgewerkt met de nieuwste kwaadaardige payloads met betrekking tot misbruik van de kwetsbaarheid.

Analyzed Indicators ENS GTI

Uitbuiting voorkomen – ENS met expertregels

Raadpleeg dit KB-artikel voor meer informatie over de Expert Rule om uitbuiting te voorkomen. In het KB-artikel zijn instructies opgenomen over het uitschakelen van de PrintSpooler via Group Policy Objects (GPO) voor verdere bescherming. Hieronder vind je ook verschillende schermafbeeldingen over het maken van de Expert Rule in McAfee ENS. Let op: We raden aan om deze regel ongeveer 2 dagen in de Report Mode te zetten voordat je over gaat naar Block Mode. Expert Rules gebruiken in ENS om kwaadaardige exploits te voorkomen

Ga in ePolicy Orchestrator naar het tabblad “Policy Catalog” en klik op “Add Expert Rule”.

AddExpertRuleMcAfeeEPO

Voer de volgende rule in:

Rule {

Process {

Include OBJECT_NAME { -v “spoolsv.exe” }
}
Target {
Match FILE {
Include OBJECT_NAME { -v “%systemroot%\\System32\\spool\\drivers\\**\\New\\*.dll” }
Include OBJECT_NAME { -v “%systemroot%\\System32\\spool\\drivers\\**\\Old\\*\\*.dll” }
Include -access “CREATE”
}
}
}
Import Expert Rule in ePO

Overige instellingen

  • Severity moet op High
  • Actions minimaal twee dagen op reporting en daarna op block als de ruis in threat events gefilterd is
  • Rule type moet op Files

Threat events filteren

Het is ook raadzaam om de threat events te filteren want na het aanmaken van de expert rule zullen er nieuwe events binnenkomen vanuit alle drivers die worden gebruikt. Hier zitten dus ook printers tussen die wel bekend en vertrouwd zijn die je misschien wilt excluden. Onze McAfee Experts hebben een kant en klare .XML beschikbaar zodat je deze query niet zelf hoeft te maken. Lijkt je dit handig? Stuur dan een mailtje naar support@mydigitals.nl voor meer informatie.

McAfee Expert Rules in ENS

Expert Rules zijn tekst-gebaseerde custom rules die je vanuit McAfee ePolicy Orchestrator of in de Endpoint Security (McAfee ENS) stand-alone kunnen worden toegevoegd. Wil je meer weten over hoe je dit kunt doen? Een uitgebreide uitleg over het toepassen van McAfee expert rules vind je in deze blog.

Je kunt ons natuurlijk ook gewoon bellen voor aanvullende informatie op 085-0185761.

Meer weten?

Gabi Barrientos de Reus helpt je graag verder. Je kunt hem bereiken op: gabi@mydigitals.nl