آسیب پذیری Print Spooler با نام PrintNightmare

آسیب پذیری Print Spooler با نام  PrintNightmare

۱۴۰۰/۰۵/۰۵

آسیب پذیری Print Spooler با نام PrintNightmare

هنگامی‌که سرویس Windows Print Spooler به طور نامناسب عملیاتی را در سطح کاربری privileged   انجام دهد، باعث می­شود آسیب‌پذیری از نوع اجرای کد از راه‌ دور به شناسه CVE-2021-34527که اصطلاحا با نامPrint Nightmare  شناخته می‌شود، رخ دهد. مهاجمی‌که با موفقیت از این آسیب‌پذیری سوء استفاده نماید، می‌تواند کد دلخواه خود را  در سطح SYSTEM اجرا نموده و همچنین برنامه‌های مورد نظر  را با سوء استفاده از این آسیب‌پذیری بر روی سیستم قربانی نصب کند. علاوه بر این مهاجم قابلیت مشاهده، تغییر یا حذف داده‌ها را نیز در اختیار دارد. در نهایت می­ تواند یک حساب کاربری که دارای حقوق کاربر است را ایجاد و از آن سوء استفاده کند.

همچنین مهاجم می‌تواند تغییراتی در محیط اکتیو دایرکتوری با سطح دسترسیprivileged  تا adminایجاد کند.

این نوع حمله در تمامی‌نسخه‌های ویندوز قابل اجرا می‌باشد و میزان شدت آسیب‌پذیری این حمله از طرف مایکروسافت  High  یا Critical تلقی شده است و میزان CVSS آن در سایت مایکروسافت برابر 8.8 است.

آسیب‌پذیری Print Nightmare   به 4 دلیل بسیار خطرناک در نظر گرفته می­شود:

  1. محل این آسیب‌پذیری سرویس Windows Print Spooler می­باشد که به صورت پیش‌فرض بر روی تمامی‌سیستم عامل‌های ویندوز، از جمله کنترل‌کننده‌های دامنه و رایانه‌هایی با سطوح دسترسی ادمین سیستم فعال می‌باشد. این موضوع باعث می­شود تمامی‌دستگاه‌های موجود با سیستم عامل ویندوز در معرض خطر قرار بگیرند.
  2. سوء تفاهم پیش ­آمده بین گروهی از محققان منجر به این شد که مفهوم این آسیب‌پذیری به صورت آنلاین منتشر بشود. محققان کاملا مطمئن بودند که وصله‌ی امنیتی مایکروسافت آسیب‌پذیری را برطرف کرده است، پس آن‌ها جزئیات آسیب‌پذیری را با جامعه کارشناسان در میان گذاشتند و اطلاعات آن به صورت عمومی‌پخش شده است.
  3. این آسیب‌پذیری، از نوع افزایش سطح دسترسی نیز هست که مهاجم با سطح دسترسی پایین با استفاده از یک فایل مخرب DLL در سیستم به سطوح بالاتر دسترسی پیدا کند و قابلیت اجرای کد از راه دور هم وجود دارد. مهاجم می­تواند بدون دسترسی مستقیم به دستگاه موردنظر فایل DLL مخرب را تزریق کند.
  4. از آنجایی که با استفاده از این آسیب‌پذیری، می­توان به داده‌های زیرساختی یک شرکت­ دسترسی پیدا کرد، می­توان از آن برای حملات باج­افزاری نیز استفاده نمود؛ بنابراین  این حمله می‌تواند صدمات جبران ناپذیری به شبکه وارد کند و باعث مختل شدن آن شود. راهکارهایی وجود دارد که می‌توان با استفاده از آن ها از وقوع این حمله پیشگیری کرد.

مایکروسافت برای جلوگیری از وقوع این آسیب وصله‌ی امنیتی در تاریخ 7 july  2021 برای Windows10,      Windows server 2012, Windows server 2016  نسخه 1607  منتشر کرده است.

برای دیدن وصله‌های مناسب برای سیستم مورد نظر، جدول وصله‌های امنیت در سیستم را چک نمائید. توصیه می‌شود هر چه سریع‌تر به نصب وصله‌های امنیتی اقدام کنید.

  اگر در نصب وصله به مشکل مواجه شدید راهنماهای موجود در قسمت مربوط به این حمله در سایت مایکروسافت مراجعه  نمایید:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527

 علاوه بر نصب وصله‌های امنیتی، برای اینکه سیستم خود را در برابر این آسیب‌پذیری ایمن سازید، نیاز است که تنظیمات رجیستری خود را روی 0 یا تعریف نشده قرار دهید.

از راه‌های دیگر برای جلوگیری از وقوع این آسیب‌پذیری، غیرفعال کردن سرویس Windows Print Spooler در رایانه یا کنترل‌کننده‌ی دامنه می­باشد. البته با غیرفعال شدن این سروریس قابلیت پرینت گرفتن از دستگاه موردنظر گرفته می‌شود.

همچنین تنظیمات گروپ پالیسی شما هم باید صحیح باشد:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint

NoWarningNoElevationOnInstall = 0 (DWORD) or not defined (default setting)

UpdatePromptSettings = 0 (DWORD) or not defined (default setting)


نویسنده: امید تقی‌زاده

 

 

 

کلیه حقوق مادی و معنوی این سایت برای شرکت امن افزار: شرکت امنیت اطلاعات و شبکه[ شرکت تخصصی امنیت اطلاعات ] محفوظ است.