Microsoft Defender for Identity có thể phát hiện các cuộc tấn công PrintNightmare

Microsoft đã bổ sung cho Defender for Identity khả năng phát hiện những khai thác nhắm vào PrintNightmare. Nhờ đó, các nhà bảo mật có thể phát hiện nhanh những nỗ lực tấn công nhắm vào lỗ hổng này của hacker.

Theo Daniel Naim, giám đốc chương trình của Microsoft, Defender for Identity hiện có thể phát hiện khai thác nhắm vào dịch vụ Print Spooler bằng lổ hổng PrintNightmare (CVE-2.021-34.527) và giúp ngăn chặn các cuộc tấn công bên trong mạng lưới của các tổ chức.

Nếu bị khai thác thành công, lỗ hổng nghiêm trọng này cấp quyền nâng cao đặc quyền cho Quản trị viên miền, đánh cắp thông tin đăng nhập miền và phân phối phần mềm độc hại với tư cách Quản trị viên miền thông qua RCE, với đặc quyền SYSTEM. Điều này cho phép kẻ tấn công chiếm các máy chủ bị ảnh hưởng.

Microsoft Defender for Identity (trước đây được gọi là Azure Advanced Threat Protection hay Azure ATP) là một giải pháp bảo mật dựa trên đám mây, sử dụng các tín hiệu Active Directory tại chỗ để xác định, phát hiện và điều tra các mối đe dọa, danh tính bị xâm phạm và các hoạt động độc hại khác trong tổ chức.

Bạn cần phải đăng ký gói E5 Microsoft 365 để dùng Defender for Identity. Nhưng nếu chưa đăng ký, bạn có thể nhận bản dùng thử Security E5 ngay bây giờ để cung cấp cho tính năng mới này.

Defender for Identity phát hiện được lỗ hổng PrintNightmare.
Defender for Identity phát hiện được lỗ hổng PrintNightmare.

Tuần trước, Microsoft đã hướng dẫn vá lỗi PrintNightmare và chia sẻ các bước cần thiết để vá chính xác lỗ hổng này, sau khi một số nhà nghiên cứu bảo mật phát hiện bản vá vẫn có thể bị "vượt rào".

CISA cũng yêu cầu các cơ quan liên bang cố gắng giảm thiểu việc lỗ hổng PrintNightmare bị khai thác tích cực trên mạng của họ.

Defender for Identity đã được cập nhật vào tháng 11 để phát hiện việc khai thác Zerologon cũng nhằm vào lỗ hổng nghiêm trọng này.

Microsoft sẽ tung ra một bản cập nhật khác vào cuối tháng này, cho phép SecOps ngăn chặn các nỗ lực tấn công bằng cách khóa tài khoản Active Directory của người dùng bị xâm phạm .

Thứ Ba, 20/07/2021 17:02
51 👨 179
0 Bình luận
Sắp xếp theo
    ❖ Chuyện công nghệ