紧急部署亚信安全虚拟补丁,有效防范打印机高危“零日漏洞”
近日,网络安全威胁和漏洞信息共享平台发布漏洞预警,公布了微软Windows Print Spooler远程代码执行漏洞的风险公告,漏洞CVE编号:CVE-2021-1675和CVE-2021-34527。随后,该EXP被攻击工具“mimikatz”的作者集成到工具中——这意味着该漏洞已形成了更加泛化的“零日漏洞”攻击。
对此,亚信安全在漏洞发布第一时间紧急增加并推送DPI(虚拟补丁)规则,用户可以通过更新DPI(虚拟补丁)方式对终端以及服务器提供检测以及防护能力。另外,此漏洞对于Microsoft的所有Windows版本都适用,在不同版本Microsoft未提供补丁的时间段内,安装亚信安全防毒墙网络版(OfficeScan)和亚信安全服务器深度安全防护系统(Deep Security)的用户,都可以利用虚拟补丁提供的方案,保护XP、Win7等所有的Windows版本。
目前,亚信安全终端防护产品(OfficeScan)和云主机安全产品(Deep Security)均已实现检测及安全防护:
规则1011016 - 通过TCP协议识别的DCERPC AddPrinterDriverEx调用
规则1011018 - 通过SMB协议识别的DCERPC AddPrinterDriverEx调用
请注意,由于漏洞的性质,有效的Windows函数/调用 (AddPrinterDriverEx),这些入侵防御规则默认设置为DETECT。这是为了最大限度地减少对IT环境的潜在误报。
在一般情况下,一旦漏洞公布之后,相关的网络攻击会在一天之后频繁出现。自动攻击带来的大多数损害发生在消息发布后的前15天内,而80%的攻击出现在60天内。曾有机构统计,现在网络用户使用的操作系统和应用程序,每一千行代码中就有可能存在四至五个编码漏洞。由于系统和应用程序的开发商不可能对所有的代码进行严格的检查,在许多情况下,调查、测试和将补丁程序部署到操作系统可能需要30天或更多时间,对于应用程序来说,通常需要更久。而且,可能遭遇的情况就是,上一个严重漏洞还没有修补,新的补丁更新程序却已经来到。应该说,在任何一个补丁的“空档期”,企业的安全架构都是脆弱的。
如今,几乎每个月都有数百个软件漏洞被发现,而即时的修补不但耗费大量的人力成本,还会因为兼容性问题出现“死机”状况,这都让服务器随时做好“回滚”的准备。而且,通常对于尚在服役的旧版操作系统而言,由于需要单独付出费用,很多服务器和终端几乎是“赤裸”着工作。另外,许多网络与系统管理人员也都对打补丁工作十分抵触,因为这已经占据了他们日常工作中的大量时间,而安全主管则需要随时提防着CVE-2021-34527等这样的高危漏洞造成网络入侵、数据泄露事件。
虚拟补丁作为重要的基于主机的安全功能,在未对漏洞进行永久补丁修复之前,针对网络数据流的深层分析,检测入站流量并保护应用程序免受攻击的方法,将会带高效便捷的安全运维方式。同时,亚信安全的虚拟补丁技术整合了全球威胁库第一时间公布的漏洞防护和补丁通知,并可以通过深度包检测模块,在流量和系统的实时监控过程中,自动发现应用程序和操作系统中的漏洞。
目前,包含虚拟补丁技术的亚信安全大终端安全、云主机安全等解决方案在众多行业和场景中得到了非常成熟的应用。用户可以利用服务器深度安全防护系统(Deep Security)和防毒墙网络版(Office Scan)内置的虚拟补丁模块,以更低的运维成本、更高效的方式在云数据中心和各类终端实施漏洞保护。
Win11正式发布,老系统的漏洞修补会受影响么?
【修补方案】Windows打印后台处理程序曝高危漏洞
0day漏洞!Windows打印后台处理程序又“中招”
【安全支持】亚信安全截取新型木马EHSTOR
了解亚信安全,请点击“阅读原文”