Silverfort PrintNightmare 취약점의 악용을 사전 예방적으로 방지

Windows 인쇄 스풀러의 취약성으로 인해 Windows 시스템의 인증된 도메인 사용자가 "시스템"으로 원격 코드를 실행할 수 있습니다. 취약점에 대한 세부 정보 및 개념 증명이 인터넷에 유출되었습니다. 이 취약점은 "PrintNightmare"라고 합니다. Microsoft Windows에서 기본적으로 켜져 있는 인쇄 스풀러는 컴퓨터 프린터 또는 인쇄 서버로 전송되는 모든 인쇄 작업을 관리하는 Windows 서비스입니다.

이 취약점을 성공적으로 악용하면 원격 공격자가 시스템을 완전히 탈취할 수 있는 문이 열릴 수 있습니다. 인증된 원격 공격자는 인쇄 스풀러 서비스가 활성화된 시스템에서 상승된 권한으로 코드를 실행할 수 있습니다.

Microsoft가 Print Spooler(CVE-2021-1675)의 유사한 취약점에 대한 권고를 발표했을 때 보안 연구원들은 실수로 PrintNightmare(CVE-2021-34527)의 세부 정보를 공개했습니다. 공격자는 이 취약점을 악용하여 영향을 받는 시스템을 제어할 수 있습니다.

Silverfort PrintNightmare 악용으로부터 보호

Silverfort의 통합 신원 보호 인쇄 스풀러 서비스를 실행하는 시스템에 적용되는 간단한 위험 기반 인증 정책을 통해 이러한 악용에 대한 완전한 보호를 제공할 수 있습니다. 이러한 방식으로 공격자의 모든 악의적인 액세스 시도 액세스 시도는 MFA 실제로 손상된 사용자에게 알림을 보내 추가 리소스에 대한 액세스 권한을 얻기 위해 이 취약점을 악용할 가능성을 제거합니다.

Silverfort의 솔루션은 공통 액세스 인터페이스에서 MFA와 같은 최신 보안 액세스 제어를 시행할 수 있습니다. Active Directory 활용하는 신원 공격에 대한 탄력성을 실질적으로 증가시킵니다. 손상된 자격 증명 엔터프라이즈 리소스에 액세스합니다.

"Silverfort다음과 같은 최신 보안 액세스 제어를 시행하는 의 능력 MFA 공통 액세스 인터페이스에서 Active Directory 환경은 게임 체인저"라고 말했습니다. Yaron Kassner, 공동 창립자 겸 CTO Silverfort. “거의 모든 악용 후 TTP는 대상이 악의적인 인증을 실시간으로 방지할 수 있는 능력이 부족하다는 가정에 의존합니다. 그만큼 인쇄악몽 익스플로잇은 우리가 다루고 있는 보안 격차의 또 다른 좋은 예입니다.”

Silverfort 보안 지침

 감소 공격 표면

• Windows 인쇄 스풀러 서비스가 활성화된 위치를 확인하려면 환경의 모든 컴퓨터를 스캔합니다. 다음을 사용하여 도메인 컨트롤러를 스캔하여 시작할 수 있습니다. Silverfort의 무료 취약성 평가 도구입니다.
• 인쇄하지 않는 도메인 컨트롤러 및 기타 시스템에서 Windows 인쇄 스풀러 서비스를 비활성화합니다.
• 인쇄는 하지만 인쇄를 위해 원격으로 액세스하지 않는 컴퓨터에서 인바운드 원격 인쇄를 비활성화합니다.
• Microsoft의 지도 (완화 섹션 참조).
• 인쇄 서버를 수락하는 모든 시스템에서 인바운드 원격 연결을 비활성화합니다.

위험 기반 정책 만들기

모든 시스템에서 MFA를 시행하는 위험 기반 액세스 정책을 할당합니다. NTLM Windows 인쇄 스풀러 서비스가 활성화된 컴퓨터에 대한 연결. 위의 지침을 따른 후에는 인쇄 서버로 제한해야 합니다. 위험 점수가 '중간' 이상인 모든 사용자에 대한 정책을 만듭니다. PrintNightmare의 게시된 익스플로잇은 연결을 위해 NTLM에 대한 패스-더-해시 공격을 사용하므로 이 정책은 대상 리소스에 액세스하기 위해 취약성을 악용하려는 모든 공격자의 고위험 액세스를 차단합니다.

정책은 다음과 같습니다.

고급 설정에서 12시간마다 MFA를 요구하도록 정책을 구성합니다.

이러한 악용의 변경을 방어하기 위해 CIFS에 대한 정책을 생성할 수도 있습니다. Kerberos 티켓.

더 알고 싶으세요? 예약 데모 전문가 중 한 명과 함께.