✍️ شناسایی سواستفاده از آسیب پذیری Print Spooler _ براساس ترافیک
شرکت های مختلف امنیتی قوانین خود را در چند روز گذشته منتشر کرده اند. در ادامه یکی از قوانین IDS نوشته شده توسط Proofpoint برای Suricata آورده شده است (مجموعه قوانین تجاری ET Pro):
alert tcp any any -> $Home_NET any (msg:'ETPRO POLICY Observed Windows Printer Spooler Activity Add Printer Driver'; flow:established,to_server; content:'|02|'; content:'|03|'; distance:0; within:5; content:'W|00|i|00|n|00|d|00|o|00|w|00|s|00|'; distance:0; content:'.|00|d|00|l|00|l|00|'; distance:0; content:'|00 00 00 10|'; distance:0; content:'|00 00 80 00|'; distance:0; within:20; content'|00 5c 00|s|00|p|00|o|00|o|00|l|00 5c 00|d|00|r|00|i|00|v|00|e|00|r|00|s|00 5c|'; fast_pattern; classtype:bad-unknown; sid:2849129; rev:2;)
#CVE_2021_34527 #CVE_2021_1675 #IDS #Print_Spooler #PrintNightmare
♻️ @HyperSec
شرکت های مختلف امنیتی قوانین خود را در چند روز گذشته منتشر کرده اند. در ادامه یکی از قوانین IDS نوشته شده توسط Proofpoint برای Suricata آورده شده است (مجموعه قوانین تجاری ET Pro):
alert tcp any any -> $Home_NET any (msg:'ETPRO POLICY Observed Windows Printer Spooler Activity Add Printer Driver'; flow:established,to_server; content:'|02|'; content:'|03|'; distance:0; within:5; content:'W|00|i|00|n|00|d|00|o|00|w|00|s|00|'; distance:0; content:'.|00|d|00|l|00|l|00|'; distance:0; content:'|00 00 00 10|'; distance:0; content:'|00 00 80 00|'; distance:0; within:20; content'|00 5c 00|s|00|p|00|o|00|o|00|l|00 5c 00|d|00|r|00|i|00|v|00|e|00|r|00|s|00 5c|'; fast_pattern; classtype:bad-unknown; sid:2849129; rev:2;)
#CVE_2021_34527 #CVE_2021_1675 #IDS #Print_Spooler #PrintNightmare
♻️ @HyperSec