火绒“横向渗透防护”功能升级 可拦截Windows 打印服务漏洞攻击

7月1日，微软发布高危打印服务漏洞（CVE-2021-34527），攻击者可直接获取域控SYSTEM权限，在域控制器上执行任意代码，从而控制整个域环境，可能造成严重危害。微软于昨日发布相关补丁（未发布的更新微软已于今日发布），我们也同步进行了紧急升级，用户可以通过“漏洞修复”功能进行修复。

仍需注意的是，不方便进行漏洞修复的用户，如果使用关闭"Print Spooler"服务的方式缓解，将会影响打印机的使用。由此，我们对火绒产品【横向渗透防护】功能进行了升级，新增“远程打印机添加”防护项，可以阻止通过RPC添加打印机驱动的风险操作。因为CVE-2021-34527漏洞是利用了“远程添加打印机”发起的攻击，所以在开启该防护项后，可以阻止漏洞攻击，并且通过日志溯源攻击源IP。（如下图）

用户将火绒产品更新到最新版，即默认开启该防护项。

下面是该功能的漏洞拦截演示：

除漏洞以外，勒索病毒、后门程序、蠕虫病毒等高危病毒也会使用横向渗透入侵企业内网。由于横向渗透攻击面广，成功入侵一台主机后，将意味着局域网内大量终端被攻击。尤其对终端数量较多的企业影响较大。

“火绒安全软件5.0”以及“火绒终端安全管理系统2.0”产品都具备【横向渗透防护】功能，可以阻断局域网内已存在的渗透威胁，做到终端之间相互隔绝已有的攻击，杜绝“横向”传播的可能；还可以做到追本溯源，找到已被黑客控制并作为渗透的跳板终端，及时终止渗透行为。

我们建议用户开启该功能以防御横向渗透入侵。同时，我们也会不断的对产品和功能进行升级，给用户提供全方位的安全防护。

相关内容：

《Windows 打印服务风险通告（CVE-2021-34527）》

《CVE-2021-1675（Windows Print Spooler 远程命令执行漏洞）漏洞通告 | PoC公开》

《CVE-2021-34527|微软发布打印机漏洞补丁 火绒工程师提醒用户尽快修复》