2021年7月1日(米国時間)、Microsoft Windows 製品にリモートコード実行が可能となる脆弱性が存在する事を
Microsoft が公開を行いました。
現在は正式パッチの配布が行われたため、現在は正式パッチ適用が推奨されております。
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527
もし、すぐに正式パッチ適用が行えない場合、TippingPoint にて一時対策(仮想パッチ)を行う事が可能です。
07月02日(日本時間)、DV #9553 にて今回の脆弱性対策用の Filter がリリースされました。
CVE-2021-34527
39940: RPC: Microsoft Windows AddPrinterDriverEx Request
デフォルト設定:Disable
07月07日(日本時間)、DV #9556 にて今回の脆弱性対策用の追加 Filter がリリースされました。
CVE-2021-34527
39954: RPC: Microsoft Windows AsyncEnumPrinterDrivers/AsyncAddPrinterDriver Request
デフォルト設定:Disable
本 Filter は、TippingPoint をお使いの上、DV #9556 に定義ファイルの更新が完了している環境であれば、
Filter:39940 または 39954 を有効に変更を行う事で対策することが可能です。
SMS をご利用されているお客様の場合、以下の手順にて Filter の有効化が行えます。
01.SMS Client にて SMS にログイン
02.画面上部メニュー「Profiles」をクリック
03.画面左部メニュー「Profiles」⇒「Inspection Profiles」⇒「(現在使用しているProfile)」⇒「Search」をクリック
04.画面右部「Filter Name」に「39940 または 39954」と入力を行い、右側「Search」をクリック
05.画面下部「Search Results」に表示された Filter をクリック後、右下「Edit」をクリック
06.新しいウィンドウ「Action」内の「Use Filter Specific Settings」を選択
07.「State」の「Enabled」にチェックを入れる
08.「Action Set」で任意の動作※を選択後、右下「OK」をクリック
・Block + Notify:該当通信遮断 + 検知通知
・Permit + Notify:該当通信通過 + 検知通知
・Block:該当通信遮断
・Permit:該当通信通過
09.画面左部メニュー「Profiles」⇒「Inspection Profiles」⇒「(現在使用しているProfile)」をクリック
10.画面右部「Distribute」をクリックし、適用を行いたいセグメントを選択し、「OK」をクリック
11.新しいウィンドウにて、100%(Complete)になれば適用完了
※Filter 設定変更による業務通信影響を気にされる場合は、最初は「Permit + Notify」にて設定を行い、
業務通信に影響が無い事が確認出来た後、「Block + Notify」に変更を行うことをおすすめいたします。