Defender for Identity detecta la vulnerabilidad de PrintNightmare, reduce el riesgo de Print Spooler

Según el administrador de programas de Microsoft, Daniel Naim, Defender for Identity ahora puede usar la vulnerabilidad PrintNightmare (CVE-2,021-34,527) para detectar el funcionamiento del servicio Print Spooler y ayudar a prevenir ataques de la red de servidores de Microsoft. organización.

Si se explota con éxito, esta vulnerabilidad crítica podría otorgar privilegios mejorados a un administrador de dominio, robar credenciales de dominio y distribuir malware a través de RCE como administrador de dominio con privilegios de SISTEMA. Esto permite que el atacante se apodere del servidor afectado.

Microsoft Defender for Identity (anteriormente conocido como Azure Advanced Threat Protection o Azure ATP) es una solución de seguridad basada en la nube que usa alertas locales de Active Directory.

Esto permite que los equipos de operaciones de seguridad de SecOps detecten e investiguen identidades comprometidas, amenazas generalizadas y actividad interna maliciosa contra organizaciones registradas.

Debe suscribirse a un plan de Microsoft 365 E5 para usar Identity Defender. Sin embargo, si no se ha registrado, ahora puede probar Security E5 para admitir esta nueva función.

La semana pasada, Microsoft aclaró las pautas para reparar PrintNightmare y compartió los pasos necesarios para abordar adecuadamente la vulnerabilidad crítica después de que algunos investigadores de seguridad determinaron que la solución aún podría estar "deshabilitada". .

CISA también requiere que las agencias federales mitiguen la explotación de las vulnerabilidades de PrintNightmare en sus redes.

Defender for Identity se actualizó en noviembre para detectar la vulnerabilidad Zerologon como parte de un ataque local a esta vulnerabilidad crítica.

Microsoft lanzará otra actualización a finales de este mes que permitirá a SecOps frustrar los intentos de ataque bloqueando las cuentas de Active Directory de los directorios infectados.