مایکروسافت به تازگی خبر از یک zero-day داده است که بخشی از آسیب پذیری PrintNightmare به حساب می آید. این zero-day که با شماره مرجع CVE-2021-36958 مشخص شده است از نوع اجرای کد از راه دور (RCE) بوده و یک مهاجم در صورت اکسپلویت موفق این آسیب پذیری می تواند کدهای مورد نظرش را بر روی سیستم قربانی و با دسترسی System اجرا کند. بعد از آن هم به راحتی می‌تواند برنامه های دلخواهش را نصب کند، داده های کاربر را ببیند، پاک کند و یا تغییر دهد و حتی حساب کاربری جدید با دسترسی کامل ایجاد کند.

این آسیب‌پذیری که با امتیاز CVSS 7.3 مشخص شده است، از درجه مهم به حساب می آید و شاید دلیل آنکه این zero-day درجه بحرانی (critical) را به خود اختصاص نداده است را بتوان لزوم دسترسی مستقیم مهاجم به سیستم آسیب‌پذیر دانست، همچنین مشارکت قربانی نیز در روند اکسپلویت این Zero-day ضروری است در صورتی که در PrintNightmare نیازی به تعامل کاربر نیست. اما با این وجود به دلیل امکانات زیادی که اکسپلویت این آسیب‌پذیری در اختیار مهاجم قرار می‌دهد این zero-day مهم می‌باشد.

مایکروسافت این zero-day را تنها یک روز پس از انتشار به روزرسانی‌های ماه آگوست افشا کرد، این در حالی است که  آقای Victor Mata مدیر امنیت شرکت Accenture پیش از این‌ها این آسیب‌پذیری را به آن‌ها گزارش کرده بود. آقای Mata هیچ گونه جزئیاتی از این آسیب‌پذیری را به صورت عمومی منتشر نکرده است زیرا مایکروسافت هنوز موفق به ارائه وصله‌ای برای برطرف کردن آن نشده است و تنها به کاربرانش توصیه کرده است سرویس Print Spooler را غیرفعال کنند.

در Patch Tuesday این ماه، مایکروسافت دو آسیب‌پذیری مرتبط با Print Spooler یعنی CVE-2021-34481 و CVE-2021-36936 را از طریق ارائه به روزرسانی برطرف کرد. این دو آسیب‌پذیری که تقریبا به صورت تصادفی در ماه ژوئن به صور عمومی افشا شدند به مهاجمین اجازه اجرای کدهای مورد نظرشان را از راه دور و بدون نیاز به دسترسی مستقیم به سیستم‌ها می‌دادند.

آقای Benjamin Delphy، سازنده Mimikatz و شخصی که بر روی آسیب‌پذیری PrintNightmare تحقیق کرده است، در حساب توئیترش PoC (Proof of Concept) مربوط به اکسپلویت این zero-day را منتشر کرده است.

همانطور که گفتیم هنوز وصله‌ای برای برطرف کردن این آسیب‌پذیری منتشر نشده است و تنها راهکار موجود غیر‌فعال کردن سرویس Print Spooler می‌باشد. اما از آنجایی که غیرفعال کردن این سرویس باعث می‌شود دیگ کاربر نتواند از سیستمش پرینت ارسال کند توصیه میکنیم در بخش تنظیمات مشخص کنید کاربر تنها مجاز است از سمت سرورهای مطمئن پرینتر نصب کند.

روند انجام این تنظیمات را در قسمت پایین می‌توانید مشاهده کنید:

User Configuration > Administrative Templates > Control Panel > Printers > Package Point and Print – Approved Servers.

لیستی از سرورهایی را که می خواهید به عنوان سرور چاپ استفاده شوند ، وارد کنید و سپس برای فعال کردن Policy ، دکمه OK را فشار دهید. اگر سرور چاپ در شبکه خود ندارید ، می توانید یک نام جعلی وارد کنید تا این ویژگی فعال شود.

استفاده از این Policy گروهی بهترین محافظت را در برابر سوء استفاده های CVE-2021-36958 ارائه می دهد ، اما مانع از تصاحب سرور توسط مهاجمان نمی‌شود.

برای مدیریت آسیب‌پذیری و نصب خودکار وصله‌های امنیتی چه چاره‌ای اندیشیده‌اید؟

با راهکار GFI LanGuard طیف وسیعی از توانمندی‌ها از جمله پویش شبکه، تشخیص و اصلاح نقاط آسیب‌پذیر شبکه، مدیریت وصله‌های امنیتی، پویش درگاه‌های شبکه و ارزیابی آسیب‌پذیری‌های پایگاه داده را به سازمان خود بیاورید.