آسیب پذیری PrintNightmare از زبان کسپرسکی
آسیب پذیری PrintNightmare از زبان کسپرسکی: اواخر ماه ژوئن، محققین امنیتی در حال مذاکره در مورد آسیبپذیری در سرویس Windows Print Spooler بودند، که آن را آسیب پذیری PrintNightmare نامگذاری کردند. این وصله، روز سهشنبهای در همان ماه ژوئن منتشر شد که البته قرار بود این آسیبپذیری را برطرف کند اما این مسئله مشکل بزرگتری نیز شده بود. این وصله، آسیبپذیری CVE-2021-1675 را بر طرف کرد اما موفق نشد آسیبپذیری CVE-2021-34527 را رفع کند. عاملین مخرب روی کامپیوترها یا سرورهای وصله نشدهی مبتنی بر ویندوز میتوانستند از آسیبپذیریها برای تحت کنترل درآوردن سیستم استفاده کنند زیرا Windows Print Spooler به طور پیشفرض روی همه سیستمهای ویندوزی فعال است. مایکروسافت از PrintNightmare به جایCVE-2021-1675 از CVE-2021-34527 استفاده میکند؛ با این حال بسیاری دیگر از آن برای هر دو آسیبپذیری استفاده میکنند. متخصصین کسپرسکی هر دو آسیبپذیری را با جزئیات بررسی کردند و مطمئن شدند راهکارهای امنیتی کسپرسکی با فناوری پیشگیری از اکسپلویت و محافظت مبتنی بر رفتار میتوانند جلوی اکسپلویت شدن آنها را بگیرند. در ادامه با ما همراه باشید تا شما را از تمام ماجرا باخبر سازیم.
چرا PrintNightmare خطرناک است؟
آسیب پذیری PrintNightmare به دو دلیل بسیار خطرناک است: اول اینکه Windows Print Spooler به طور پیشفرض روی همه سیستمهای ویندوزی فعالسازی شده است از جمله کنترلرهای دامنه و کامپیوترهایی با مزایای ادمین سیستم که این چنین کامپیوترهایی را آسیبپذیری میکند. دوم اینکه سوءتفاهم بین تیمهای محقق به اکسپلویت اثبات مفهوم PrintNightmare و نشر آنلاینش منجر شد. محققین دخیل در این امر مطمئن بودند وصله ماه ژوئن مایکروسافت از پیش مشکل را حل کرده و از این رو کار خود را با جامعه متخصص به اشتراک گذاشتند. با این حال، این اکسپلویت هنز هم خطرناک است. PoC به سرعت برداشته شد اما قبل از آن بسیاری از گروهها آن را کپی کرده بوند و اصلاً برای همین است که متخصصین کسپرسکی اینطور پیشبینی میکنند که اقداماتی در راستای اکسپلویت کردن PrintNightmare افزایش یابد.
آسیبپذیریها و اکسپلویت
CVE-2021-1675 یک آسیبپذیری افزایش مزیت است که به مهاجم با مزیتهای دسترسی محدود اجازه میدهد تا برای اجرای یک اکسپلویت و دسترسی به مزایای بالاتر از فایل مخرب DLL استفاده کنند. با این حال این تنها زمانی ممکن است که مهاجم از قبل به کامپیوتر آسیبپذیری مربوطه دسترسی داشته باشد. مایکروسافت اینطور فکر میکند که چنین آسیبپذیری ریسک کمی دارد. اما CVE-2021-34527 به طور قابلملاحظهای خطرناکتر است. گرچه به هم شبیهاند اما این یکی در واقع نوعی آسیبپذیری اجرای کد ریموت (RCE) است که تزریق DLLها را ممکن میسازد. مایکروسافت از پیش شاهد چنین اکسپویتهایی در بیرون بوده است و سایت سکیورلیست هم در خصوص هر دو این آسیبپذیریها و تکنیکهای اکسپویتشان توضیحاتی را به تفصیل ارائه داده است. از آنجایی که مهاجمین میتوانند از PrintNightmare برای دسترسی به دادههای داخل زیرساخت سازمانی استفاده کنند ممکن است از همین اکسپلویت برای حملات باجافزاری نیز استفاده نمایند.
راهکارهای امنیتی
اولین مرحله شما برای محافظت از خود در برابر حملات PrintNightmare نصب هر دو وصله از مایکروسافت است. احیاناً اگر نتوانستید از وصلهها استفاده کنید یک سری راهکارهای مایکروسافتی ارائه میدهد. یکی از اینها حتی نیازی به غیرفعال کردن Windows Print Spooler هم ندارد. از این رو به شدت توصیه میکنیم Windows Print Spooler را روی کامپیوترهایی که به آن نیازی ندارند غیرفعال کنید. به طور خاص سرورهای کنترلر دامنه بعید است به قابلیت پرینت نیازی داشته باشند. افزون بر این همه سرورها و کامپیوترها به راهکارهای امنیتی اندپوینت قابلاطمینان نیاز دارند که جلوی اقدامات اکسپلویت را هم برای آسیبپذیریهای شناختهشده و هم ناشناس بگیرند.
منبع: سافت یاب
برای دریافت نسخه آزمایشی اینجا کلیک کنید