آسیب پذیری Print Spooler با نام PrintNightmare
۱۴۰۰/۰۵/۰۵
آسیب پذیری Print Spooler با نام PrintNightmare
هنگامیکه سرویس Windows Print Spooler به طور نامناسب عملیاتی را در سطح کاربری privileged انجام دهد، باعث میشود آسیبپذیری از نوع اجرای کد از راه دور به شناسه CVE-2021-34527که اصطلاحا با نامPrint Nightmare شناخته میشود، رخ دهد. مهاجمیکه با موفقیت از این آسیبپذیری سوء استفاده نماید، میتواند کد دلخواه خود را در سطح SYSTEM اجرا نموده و همچنین برنامههای مورد نظر را با سوء استفاده از این آسیبپذیری بر روی سیستم قربانی نصب کند. علاوه بر این مهاجم قابلیت مشاهده، تغییر یا حذف دادهها را نیز در اختیار دارد. در نهایت می تواند یک حساب کاربری که دارای حقوق کاربر است را ایجاد و از آن سوء استفاده کند.
همچنین مهاجم میتواند تغییراتی در محیط اکتیو دایرکتوری با سطح دسترسیprivileged تا adminایجاد کند.
این نوع حمله در تمامینسخههای ویندوز قابل اجرا میباشد و میزان شدت آسیبپذیری این حمله از طرف مایکروسافت High یا Critical تلقی شده است و میزان CVSS آن در سایت مایکروسافت برابر 8.8 است.
آسیبپذیری Print Nightmare به 4 دلیل بسیار خطرناک در نظر گرفته میشود:
- محل این آسیبپذیری سرویس Windows Print Spooler میباشد که به صورت پیشفرض بر روی تمامیسیستم عاملهای ویندوز، از جمله کنترلکنندههای دامنه و رایانههایی با سطوح دسترسی ادمین سیستم فعال میباشد. این موضوع باعث میشود تمامیدستگاههای موجود با سیستم عامل ویندوز در معرض خطر قرار بگیرند.
- سوء تفاهم پیش آمده بین گروهی از محققان منجر به این شد که مفهوم این آسیبپذیری به صورت آنلاین منتشر بشود. محققان کاملا مطمئن بودند که وصلهی امنیتی مایکروسافت آسیبپذیری را برطرف کرده است، پس آنها جزئیات آسیبپذیری را با جامعه کارشناسان در میان گذاشتند و اطلاعات آن به صورت عمومیپخش شده است.
- این آسیبپذیری، از نوع افزایش سطح دسترسی نیز هست که مهاجم با سطح دسترسی پایین با استفاده از یک فایل مخرب DLL در سیستم به سطوح بالاتر دسترسی پیدا کند و قابلیت اجرای کد از راه دور هم وجود دارد. مهاجم میتواند بدون دسترسی مستقیم به دستگاه موردنظر فایل DLL مخرب را تزریق کند.
- از آنجایی که با استفاده از این آسیبپذیری، میتوان به دادههای زیرساختی یک شرکت دسترسی پیدا کرد، میتوان از آن برای حملات باجافزاری نیز استفاده نمود؛ بنابراین این حمله میتواند صدمات جبران ناپذیری به شبکه وارد کند و باعث مختل شدن آن شود. راهکارهایی وجود دارد که میتوان با استفاده از آن ها از وقوع این حمله پیشگیری کرد.
مایکروسافت برای جلوگیری از وقوع این آسیب وصلهی امنیتی در تاریخ 7 july 2021 برای Windows10, Windows server 2012, Windows server 2016 نسخه 1607 منتشر کرده است.
برای دیدن وصلههای مناسب برای سیستم مورد نظر، جدول وصلههای امنیت در سیستم را چک نمائید. توصیه میشود هر چه سریعتر به نصب وصلههای امنیتی اقدام کنید.
اگر در نصب وصله به مشکل مواجه شدید راهنماهای موجود در قسمت مربوط به این حمله در سایت مایکروسافت مراجعه نمایید:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527
علاوه بر نصب وصلههای امنیتی، برای اینکه سیستم خود را در برابر این آسیبپذیری ایمن سازید، نیاز است که تنظیمات رجیستری خود را روی 0 یا تعریف نشده قرار دهید.
از راههای دیگر برای جلوگیری از وقوع این آسیبپذیری، غیرفعال کردن سرویس Windows Print Spooler در رایانه یا کنترلکنندهی دامنه میباشد. البته با غیرفعال شدن این سروریس قابلیت پرینت گرفتن از دستگاه موردنظر گرفته میشود.
همچنین تنظیمات گروپ پالیسی شما هم باید صحیح باشد:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
NoWarningNoElevationOnInstall = 0 (DWORD) or not defined (default setting)
UpdatePromptSettings = 0 (DWORD) or not defined (default setting)
نویسنده: امید تقیزاده
مقالات مرتبط
اشتراک در :