Zero-Day جدید Print Spooler، کاربران ویندوز باز هم در معرض خطر هستند!
مایکروسافت به تازگی خبر از یک zero-day داده است که بخشی از آسیب پذیری PrintNightmare به حساب می آید. این zero-day که با شماره مرجع CVE-2021-36958 مشخص شده است از نوع اجرای کد از راه دور (RCE) بوده و یک مهاجم در صورت اکسپلویت موفق این آسیب پذیری می تواند کدهای مورد نظرش را بر روی سیستم قربانی و با دسترسی System اجرا کند. بعد از آن هم به راحتی میتواند برنامه های دلخواهش را نصب کند، داده های کاربر را ببیند، پاک کند و یا تغییر دهد و حتی حساب کاربری جدید با دسترسی کامل ایجاد کند.
این آسیبپذیری که با امتیاز CVSS 7.3 مشخص شده است، از درجه مهم به حساب می آید و شاید دلیل آنکه این zero-day درجه بحرانی (critical) را به خود اختصاص نداده است را بتوان لزوم دسترسی مستقیم مهاجم به سیستم آسیبپذیر دانست، همچنین مشارکت قربانی نیز در روند اکسپلویت این Zero-day ضروری است در صورتی که در PrintNightmare نیازی به تعامل کاربر نیست. اما با این وجود به دلیل امکانات زیادی که اکسپلویت این آسیبپذیری در اختیار مهاجم قرار میدهد این zero-day مهم میباشد.
مایکروسافت این zero-day را تنها یک روز پس از انتشار به روزرسانیهای ماه آگوست افشا کرد، این در حالی است که آقای Victor Mata مدیر امنیت شرکت Accenture پیش از اینها این آسیبپذیری را به آنها گزارش کرده بود. آقای Mata هیچ گونه جزئیاتی از این آسیبپذیری را به صورت عمومی منتشر نکرده است زیرا مایکروسافت هنوز موفق به ارائه وصلهای برای برطرف کردن آن نشده است و تنها به کاربرانش توصیه کرده است سرویس Print Spooler را غیرفعال کنند.
در Patch Tuesday این ماه، مایکروسافت دو آسیبپذیری مرتبط با Print Spooler یعنی CVE-2021-34481 و CVE-2021-36936 را از طریق ارائه به روزرسانی برطرف کرد. این دو آسیبپذیری که تقریبا به صورت تصادفی در ماه ژوئن به صور عمومی افشا شدند به مهاجمین اجازه اجرای کدهای مورد نظرشان را از راه دور و بدون نیاز به دسترسی مستقیم به سیستمها میدادند.
آقای Benjamin Delphy، سازنده Mimikatz و شخصی که بر روی آسیبپذیری PrintNightmare تحقیق کرده است، در حساب توئیترش PoC (Proof of Concept) مربوط به اکسپلویت این zero-day را منتشر کرده است.
همانطور که گفتیم هنوز وصلهای برای برطرف کردن این آسیبپذیری منتشر نشده است و تنها راهکار موجود غیرفعال کردن سرویس Print Spooler میباشد. اما از آنجایی که غیرفعال کردن این سرویس باعث میشود دیگ کاربر نتواند از سیستمش پرینت ارسال کند توصیه میکنیم در بخش تنظیمات مشخص کنید کاربر تنها مجاز است از سمت سرورهای مطمئن پرینتر نصب کند.
روند انجام این تنظیمات را در قسمت پایین میتوانید مشاهده کنید:
User Configuration > Administrative Templates > Control Panel > Printers > Package Point and Print – Approved Servers.
لیستی از سرورهایی را که می خواهید به عنوان سرور چاپ استفاده شوند ، وارد کنید و سپس برای فعال کردن Policy ، دکمه OK را فشار دهید. اگر سرور چاپ در شبکه خود ندارید ، می توانید یک نام جعلی وارد کنید تا این ویژگی فعال شود.
استفاده از این Policy گروهی بهترین محافظت را در برابر سوء استفاده های CVE-2021-36958 ارائه می دهد ، اما مانع از تصاحب سرور توسط مهاجمان نمیشود.
برای مدیریت آسیبپذیری و نصب خودکار وصلههای امنیتی چه چارهای اندیشیدهاید؟
با راهکار GFI LanGuard طیف وسیعی از توانمندیها از جمله پویش شبکه، تشخیص و اصلاح نقاط آسیبپذیر شبکه، مدیریت وصلههای امنیتی، پویش درگاههای شبکه و ارزیابی آسیبپذیریهای پایگاه داده را به سازمان خود بیاورید.