همه چیز در مورد آسیب پذیری PrintNightmare: بهره برداری ها، وصله ها و راه حل ها
سواستفاده های عمومی برای آسیب پذیری اجرای کد از راه دور در Windows Print Spooler در دسترس است آسیب پذیری PrintNightmare می تواند به مهاجمان امکان کنترل کامل سیستم ها را بدهد. این آسیب پذیری تمام نسخه های ویندوز را تحت تأثیر قرار می دهد و از سازمان ها خواسته می شود که وصله ها را در اسرع وقت استفاده کنند.
مایکروسافت شروع به انتشار به روزرسانی های امنیتی اضطراری برای رفع آسیب پذیری اجرای کد از راه دور آشکار شده در قابلیت پرینت ویندوز کرده است که می تواند به مهاجمان امکان کنترل کامل سیستم های آسیب پذیر را بدهد.
این آسیب پذیری، PrintNightmare لقب گرفته و با نام CVE-2021-34527 شناخته می شود، این آسیب پذیری در سرویس Windows Print Spooler قرار دارد و بهره برداری های عمومی موجود برای آن در حال بهبود است. از سازمانها خواسته می شود که وصله ها را در اسرع وقت نصب کنند یا چاپ از راه دور ورودی را غیرفعال کنند تا زمانی که وصله ها اعمال شوند.
آسیب پذیری افشای عمومی می شود به روزرسانی های ماهانه مایکروسافت در ماه ژوئن شامل یک وصله برای آسیب پذیری دیگر در سرویس Windows Print Spooler با عنوان CVE-2021-1675 بوده است که در ابتدا به عنوان مسئله افزایش امتیاز محلی (LPE) توصیف شده بود. کشف این آسیب پذیری به Zhipeng Huo از Tencent Security ، Piotr Madej از Afine و Yunhai Zhang از Nsfocus نسبت داده شد.
در تاریخ ۲۹ ژوئن، دو محقق امنیتی دیگر ، Zhiniang Peng و Xuefeng Li از Sangfor، تجزیه و تحلیل CVE-2021-1675 را منتشر کردند که در آن نشان دادند که از این نقص می توان برای دستیابی به اجرای کد از راه دور (RCE) و نه فقط افزایش امتیاز استفاده کرد. محققان گفتند که آنها همچنین قبل از اینکه به عنوان بخشی از تجزیه و تحلیل امنیتی بزرگتر از عملکرد چاپ ویندوز به مایکروسافت گزارش شود، این نقص را به طور مستقل کشف کرده بودند. این دو نفر قصد دارند یافته های خود را، که شامل آسیب پذیری های اضافی است، در کنفرانس امنیتی BlackHat USA آینده در یک سخنرانی با عنوان “Diving Into Spooler: Discover LPE and RCE Vulnerabilities in Windows Printer” ارائه دهند.
آنچه محققان Sangfor هنگام ارسال تجزیه و تحلیل CVE-2021-1675 RCE خود با نام PrintNightmare متوجه آن نشدند این بود که آنها در واقع در حال توصیف یک آسیب پذیری بسیار مشابه، اما در نهایت متفاوت بودند که patch های خرداد ماه مایکروسافت در برابر آن محافظت ایجاد نمی کرد. مایکروسافت گزارش آنها را بررسی کرد و مشاوره CVE-2021-1675 خود را به روز کرد و آن را به عنوان آسیب پذیری RCE به جای LPE توصیف کرد و همچنین یک مشاوره جدید برای نقص جدید PrintNightmare ایجاد کرد و شناسه CVE-2021-34527 را به آن اختصاص داد.
Zhiniang Peng و Xuefeng Li این اشتباه را فهمیدند اما خیلی دیر بود و دیگر محققان شروع به تجزیه و تحلیل و گسترش آن کردند. اکنون حداقل سه پیاده سازی عمومی برای اثبات این آسیب پذیری وجود دارد و برخی از آنها دارای بردارهای حمله اضافی هستند.
نحوه بهره برداری از آسیب پذیری PrintNightmare
بهره برداری اصلی از پروتکل از راه دور سیستم چاپ (MS-RPRN) استفاده می کند، که این بهره برداری را به سرورهای ویندوز پیکربندی شده به عنوان کنترل کننده دامنه یا ماشین های ویندوز ۱۰ با تنظیمات غیر پیش فرض مانند کنترل حساب کاربری کاربر (UAC) غیرفعال یا PointAndPrint NoWarningNoElevationOnInstalled فعال می کند، محدود می کند. سپس محقق دیگری که به صورت آنلاین با نام Cube0x0 شناخته می شود ، فهمید که چگونه می توان از طریق پروتکل چاپ از راه دور ناهمزمان سیستم (MS-PAR) از این بهره برداری نیز استفاده کرد. به گفته بنیامین دلپی ، توسعه دهنده Mimikatz، این امر امکان بهره برداری از PrintNightmare را در سیستم عامل های بیشتر ویندوز با تنظیمات پیش فرض و نه فقط کنترل کننده های دامنه فراهم می کند. Delpy این قابلیت را در Mimikatz پیاده سازی کرد، ابزاری منبع باز که محبوب تسترهای نفوذ و هکرهای مخرب است.
با توجه به میزان اطلاعات عمومی موجود و بهره برداری از سواستفاده ها، محققان امنیتی معتقدند که برای استفاده از این سواستفاده ها تنها زمان لازم است، البته اگر قبلاً استفاده نشده است. مشاوره مایکروسافت اظهار داشت که همه نسخه های ویندوز تحت تأثیر قرار گرفته و بهره برداری از این آسیب پذیری شناسایی شده است.
PrintNightmare وصله ها و راه حل ها مایکروسافت را برای تعداد زیادی از نسخه های تحت تأثیر ویندوز منتشر کرد. اما هنوز برای Windows 10 1607 ، Windows Server 2012 و Windows Server 2016 وجود ندارد. علاوه بر این، محققان از ۰patch.com ، سرویسی که به اصطلاح میکرو پچ هایی را توسعه می دهد که می توانند روی پردازش ها به طور مستقیم در حافظه اعمال شوند ، وصله های رایگان منتشر کرده است که ادعا می کنند برای نسخه های از دیگر ویندوز که هنوز وصله ای برایشان ارائه نشده نیز مفید هستند و در برابر همه بردارهای حمله شناخته شده آنها را محافظت می کنند.
طبق مشاوره مرکز هماهنگی CERT، به روزرسانی های موجود از مایکروسافت فقط انواع اجرای کد از راه دور بهره برداری ها را کاهش می دهد و نه نسخه های محلی افزایش سطح دسترسی را. به همین دلیل تحلیلگران CERT / CC توصیه می کنند از راه حل های دستی زیر که توسط مایکروسافت پیشنهاد شده است نیز استفاده کنید.
راه حل های جلوگیری از آسیب پذیری PrintNightmare
راه حل ۱: سرویس Print Spooler را غیرفعال کنید
اگر غیرفعال کردن سرویس Print Spooler برای شما مشکلی ایجاد نمی کند، از دستورات PowerShell زیر استفاده کنید:
Stop-Service -Name Spooler -Force
Set-Service -Name Spooler -StartupType Disabled
تأثیر راه حل: غیرفعال کردن سرویس Print Spooler توانایی چاپ به صورت محلی و از راه دور را غیرفعال می کند.
راه حل ۲: غیرفعال کردن چاپ از راه دور ورودی از طریق Group Policy می توانید تنظیمات را برای غیرفعال کردن چاپ از راه دور ورودی از طریق Group Policy به صورت زیر انجام دهید:
Computer Configuration / Administrative Templates / Printers
Disable the “Allow Print Spooler to accept client connections:” policy to block remote attacks
Restart the Print Spooler service for the group policy to take effect
تأثیر راه حل: این پالیسی با جلوگیری از عملیات چاپ از راه دور، بردار حمله از راه دور را مسدود می کند. این سیستم دیگر به عنوان سرور چاپ عمل نخواهد کرد، اما چاپ محلی روی دستگاهی که مستقیماً به آن متصل شده است همچنان امکان پذیر است.
مطالب زیر را حتما بخوانید
-
اکتیو دایرکتوری (Active Directory) چیست و چگونه کار می کند؟
97 بازدید
-
بخش بندی شبکه (Network Segmentation) چیست؟
163 بازدید
-
۸ راه برای افزایش امنیت شبکه
2.64k بازدید
-
۲۰ اصطلاح مهم امنیت شبکه که باید بدانید
3.09k بازدید
-
SOC چیست؟ تکنولوژی، اهداف و ابزارهای مرکز عملیات امنیت
6.33k بازدید
-
فیشینگ (Phishing) چیست؟ بررسی و نحوه پیشگیری از آن چگونه است
2.54k بازدید
دیدگاهتان را بنویسید
برای نوشتن دیدگاه باید وارد بشوید.