آسیب پذیری PrintNightmare از زبان کسپرسکی

آسیب پذیری PrintNightmare از زبان کسپرسکی

آسیب پذیری PrintNightmare از زبان کسپرسکی

آسیب پذیری PrintNightmare از زبان کسپرسکی

آسیب پذیری PrintNightmare از زبان کسپرسکی: اواخر ماه ژوئن، محققین امنیتی در حال مذاکره در مورد آسیب‌پذیری در سرویس Windows Print Spooler بودند، که آن را آسیب پذیری PrintNightmare نامگذاری کردند. این وصله، روز سه‌شنبه‌ای در همان ماه ژوئن منتشر شد که البته قرار بود این آسیب‌پذیری را برطرف کند اما این مسئله مشکل بزرگ‌تری نیز شده بود. این وصله، آسیب‌پذیری CVE-2021-1675 را بر طرف کرد اما موفق نشد آسیب‌پذیری  CVE-2021-34527 را رفع کند. عاملین مخرب روی کامپیوترها یا سرورهای وصله نشده‌ی مبتنی بر ویندوز می‌توانستند از آسیب‌پذیری‌ها برای تحت کنترل درآوردن سیستم استفاده کنند زیرا Windows Print Spooler به طور پیش‌فرض روی همه سیستم‌های ویندوزی فعال است. مایکروسافت از PrintNightmare به جایCVE-2021-1675 از CVE-2021-34527 استفاده می‌کند؛ با این حال بسیاری دیگر از آن برای هر دو آسیب‌پذیری استفاده می‌کنند. متخصصین کسپرسکی هر دو آسیب‌پذیری را با جزئیات بررسی کردند و مطمئن شدند راهکارهای امنیتی کسپرسکی با فناوری پیشگیری از اکسپلویت و محافظت مبتنی بر رفتار می‌توانند جلوی اکسپلویت شدن آن‌ها را بگیرند. در ادامه با ما همراه باشید تا شما را از تمام ماجرا باخبر سازیم.

printnightmare

چرا PrintNightmare خطرناک است؟

آسیب پذیری PrintNightmare به دو دلیل بسیار خطرناک است: اول اینکه Windows Print Spooler به طور پیش‌فرض روی همه سیستم‌های ویندوزی فعالسازی شده است از جمله کنترلرهای دامنه و کامپیوترهایی با مزایای ادمین سیستم که این چنین کامپیوترهایی را آسیب‌پذیری می‌کند. دوم اینکه سوءتفاهم بین تیم‌های محقق به اکسپلویت اثبات مفهوم PrintNightmare و نشر آنلاینش منجر شد. محققین دخیل در این امر مطمئن بودند وصله ماه ژوئن مایکروسافت از پیش مشکل را حل کرده و از این رو کار خود را با جامعه متخصص به اشتراک گذاشتند. با این حال، این اکسپلویت هنز هم خطرناک است. PoC به سرعت برداشته شد اما قبل از آن بسیاری از گروه‌ها آن را کپی کرده بوند و اصلاً برای همین است که متخصصین کسپرسکی اینطور پیش‌بینی می‌کنند که اقداماتی در راستای اکسپلویت کردن PrintNightmare افزایش یابد.

مطالب مشابه:  حملات رمز های عبور ادامه دارد؛ آخرین قربانی، شرکت “Citrix”

آسیب‌پذیری‌ها و اکسپلویت‌

CVE-2021-1675 یک آسیب‌پذیری افزایش مزیت است که به مهاجم با مزیت‌های دسترسی محدود اجازه می‌دهد تا برای اجرای یک اکسپلویت و دسترسی به مزایای بالاتر از فایل مخرب DLL استفاده کنند. با این حال این تنها زمانی ممکن است که مهاجم از قبل به کامپیوتر آسیب‌پذیری مربوطه دسترسی داشته باشد. مایکروسافت اینطور فکر می‌کند که چنین آسیب‌پذیری ریسک کمی دارد. اما CVE-2021-34527 به طور قابل‌ملاحظه‌ای خطرناک‌تر است. گرچه به هم شبیه‌اند اما این یکی در واقع نوعی آسیب‌پذیری اجرای کد ریموت (RCE) است که تزریق DLLها را ممکن می‌سازد. مایکروسافت از پیش شاهد چنین اکسپویت‌هایی در بیرون بوده است و سایت سکیورلیست هم در خصوص هر دو این آسیب‌پذیری‌ها و تکنیک‌های اکسپویتشان توضیحاتی را به تفصیل ارائه داده است. از آنجایی که مهاجمین می‌توانند از PrintNightmare برای دسترسی به داده‌های داخل زیرساخت سازمانی استفاده کنند ممکن است از همین اکسپلویت برای حملات باج‌افزاری نیز استفاده نمایند.

 

راهکارهای امنیتی

اولین مرحله شما برای محافظت از خود در برابر حملات PrintNightmare نصب هر دو وصله از مایکروسافت است.  احیاناً اگر نتوانستید از وصله‌ها استفاده کنید یک سری راهکارهای مایکروسافتی ارائه می‌دهد. یکی از این‌ها حتی نیازی به غیرفعال کردن Windows Print Spooler هم ندارد. از این رو به شدت توصیه می‌کنیم Windows Print Spooler را روی کامپیوترهایی که به آن نیازی ندارند غیرفعال کنید. به طور خاص سرورهای کنترلر دامنه بعید است به قابلیت پرینت نیازی داشته باشند. افزون بر این همه سرورها و کامپیوترها به راهکارهای امنیتی اندپوینت قابل‌اطمینان نیاز دارند که جلوی اقدامات اکسپلویت را هم برای آسیب‌پذیری‌های شناخته‌شده و هم ناشناس بگیرند.

منبع: سافت یاب

برای دریافت نسخه آزمایشی اینجا کلیک کنید

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

Main Menu x
X