CVE-2020-37229

Immediate Actions:

1. Identify all systems running OKI sPSV Port Manager 1.0.41 through asset inventory and network scanning

2. Restrict local access to systems running the vulnerable service to authorized personnel only

3. Implement application whitelisting to prevent unauthorized executable execution

4. Monitor for suspicious file creation in service paths (typically C:\Program Files\OKI\)



Compensating Controls:

1. Disable the sPSVOpLclSrv service if not actively required for operations

2. Implement file integrity monitoring (FIM) on service directories to detect unauthorized file placement

3. Configure Windows AppLocker or equivalent to prevent execution from service paths

4. Enable Windows Event Log auditing for service start/stop events and process creation

5. Implement least privilege access controls limiting local administrator accounts

6. Use Windows Defender or equivalent to monitor for suspicious process execution with LocalSystem privileges



Detection Rules:

1. Monitor Event ID 7045 (Service Installation) and 7040 (Service Start Type Changed)

2. Alert on file creation in OKI installation directories by non-system accounts

3. Monitor for process execution with LocalSystem privileges from OKI service paths

4. Track service restart events and correlate with recent file modifications



Long-term:

1. Contact OKI for security updates or migration path to patched versions

2. Evaluate alternative printing management solutions with better security posture

3. Plan upgrade or replacement of OKI sPSV Port Manager

الإجراءات الفورية:

1. تحديد جميع الأنظمة التي تقوم بتشغيل OKI sPSV Port Manager الإصدار 1.0.41 من خلال جرد الأصول والمسح الشبكي

2. تقييد الوصول المحلي إلى الأنظمة التي تقوم بتشغيل الخدمة المعرضة للخطر للموظفين المصرح لهم فقط

3. تنفيذ قائمة بيضاء للتطبيقات لمنع تنفيذ الملفات التنفيذية غير المصرح بها

4. مراقبة إنشاء الملفات المريبة في مسارات الخدمة (عادة C:\Program Files\OKI\)



الضوابط البديلة:

1. تعطيل خدمة sPSVOpLclSrv إذا لم تكن مطلوبة بنشاط للعمليات

2. تنفيذ مراقبة سلامة الملفات (FIM) على دلائل الخدمة للكشف عن وضع الملفات غير المصرح به

3. تكوين Windows AppLocker أو ما يعادله لمنع التنفيذ من مسارات الخدمة

4. تفعيل تدقيق سجل أحداث Windows لأحداث بدء/إيقاف الخدمة وإنشاء العملية

5. تنفيذ ضوابط الوصول بأقل امتياز تقيد حسابات مسؤول Windows المحلي

6. استخدام Windows Defender أو ما يعادله لمراقبة تنفيذ العملية المريبة بامتيازات LocalSystem



قواعد الكشف:

1. مراقبة معرف الحدث 7045 (تثبيت الخدمة) و7040 (تغيير نوع بدء الخدمة)

2. التنبيه عند إنشاء ملفات في دلائل OKI بواسطة حسابات غير النظام

3. مراقبة تنفيذ العملية بامتيازات LocalSystem من مسارات خدمة OKI

4. تتبع أحداث إعادة تشغيل الخدمة والربط بين التعديلات الأخيرة على الملفات



المدى الطويل:

1. الاتصال بـ OKI للحصول على تحديثات أمان أو مسار الترحيل إلى إصدارات مصححة

2. تقييم حلول إدارة الطباعة البديلة بموقف أمني أفضل

3. التخطيط لترقية أو استبدال OKI sPSV Port Manager