Microsoft, güvenlik operasyonları ekiplerinin saldırganların bu kritik kırılganlığı kötüye kullanma girişimlerini tespit etmelerine yardımcı olacak kimlik için Microsoft Defender'a PrintNightMare sömürüsü tespiti için destek ekledi.
Microsoft Program Yöneticisi Daniel Naim tarafından ortaya çıktığında, kimlik için savunucusu şimdi Windows yazdırma biriktiricisi servis istifaretini tanımlar (aktif olarak sömürülen CVE-2021-34527 PrintnightMare Hatası dahil) ve bir org ağındaki yanal hareket girişimlerinin bloke edilmesine yardımcı olur.
Başarılı bir şekilde sömürülürse, bu kritik hata, etki alanı yöneticisine ayrıcalıkları kaldırarak, etki alanı kimlik bilgilerini çalma, kötü amaçlı yazılımları sistem ayrıcalıkları ile uzak kod yürütme (RCE) aracılığıyla bir etki alanı yöneticisi olarak dağıtarak saldırganların devralmasını sağlar.
Kimlik için Microsoft Defender (daha önce Azure Advanced Tehdit Koruması olarak bilinen veya AZURE ATP), tesis içi Active Directory sinyallerini kaldıran bulut tabanlı bir güvenlik çözümüdür.
Bu, SecnOps ekiplerinin, kayıtlı kimlikleri, ileri düzey tehditleri ve kayıtlı orgları hedef alan kötü amaçlı içecek aktivitelerini tespit etmesine ve araştırmasına izin verir.
Kimlik için savunucusu Microsoft 365 E5 ile birlikte gelir, ancak, zaten bir aboneliğiniz yoksa, bu yeni özelliği bir dönüş yapmak için bir güvenlik e5 denemesini sağlayabilirsiniz.
Geçtiğimiz hafta, Microsoft, PRINTNGYMARE yama rehberliğini netleştirdi ve çeşitli güvenlik açığını doğru bir şekilde düzeltmek için gereken adımları paylaştı.
CISA ayrıca Salı günü bir acil durum direktifi verdi, federal ajansların, ağlarındaki aktif olarak sömürülen PRISTInGNMARE güvenlik açığını azaltmalarını emretti.
İlgili haberlerde, kimlik savunucusu Kasım ayında Zerologon'un bu kritik kırılganlığa girmeye çalışan saldırıların bir parçası olarak tespit etmek için Kasım ayında güncellendi.
Microsoft, bu ayın ilerleyen saatlerinde, güvenlik işlemlerinin (SECOSS) ekiplerinin, ödün verilen kullanıcıların Active Directory hesaplarını kilitleyerek saldırılarını engellemelerini sağlayacak başka bir güncelleme yapacak.
Perşembe akşamı, Microsoft'un yeni bir Windows yazdırma kılavuzluğunda, CVE-2021-34481 olarak izlenen ve Dragos Security Researcher Jacob Baines tarafından keşfetti.
PrintNightMare'in aksine, bu güvenlik hatası yalnızca yükseltilmiş ayrıcalıklar kazanmak için savunmasız sistemlere yerel erişime sahip saldırganlar tarafından kullanılabilir.
BLEEPINGCETER, "ATTACK," Saldırı, PRINTNIGHTMARE ile gerçekten de ilişkili değil. PN uzaktan yürütülebilir ve bu, BLEEPINGCOMPRUTER'DİR. "
CVE-2021-34481 hakkında bilgi için buradaysanız, def con konuşmam için beklemeniz gerekir. Bir PrintNightMare'in varyantı olmasını düşünmüyorum. MS danışma / cve benim için bir sürprizdi ve endişeliyim kadar, koordineli bir açıklama değildi.
Microsoft bu hatayla ilgili çok az bilgi paylaşırken (Windows'un hangi sürümlerinin savunmasız olduğunu da dahil), Baines, güvenlik hatasının yazıcı sürücüsü ile ilgili olduğunu söyledi.
Redmond, bu güvenlik açığını hala araştırıyor ve temel Windows yazdırma biriktiricisi servis zayıflığını ele almak için güvenlik güncellemeleri üzerinde çalışıyor.
CVE-2021-34481 yaması mevcut olana kadar, Microsoft, yöneticilere saldırılara maruz kalan Windows aygıtlarındaki yazdırma biriktirici servisini devre dışı bırakmasını tavsiye eder.
Windows Print Nightmare, kötü amaçlı şoför paketleriyle devam ediyor
Microsoft: PrintNightMare Güvenlik Güncellemeleri Çalışması, Yamayı Başlat!
Microsoft'un eksik printnightMare yaması güvenlik açığını düzeltemez
Microsoft, Windows PrintNightMare Sıfır Gün Böceği için Mitigasyonları Paylaşır
CISA: Yazdırma için kullanılmayan sunucularda Windows yazdırma biriktiricisini devre dışı bırak
Kaynak: Bleeping Computer