روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ اواخر ماه ژوئن، محققین امنیتی فعالانه در خصوص آسیبپذیری در سرویس Windows Print Spooler بحث میکردند. آنها نام این آسیبپذیری را PrintNightmare گذاشته بودند. پچ، روز سهشنبهای در همان ماه ژوئن منتشر شد که البته قرار بود این آسیبپذیری را رفع کند اما انگار حالا مشکل بغرنجتر نیز شده بود. در ادامه با ما همراه باشید تا شما را از چند و چون ماجرا باخبر سازیم.
این پچ، آسیبپذیری CVE-2021-1675 را بست اما موفق نشد آسیبپذیری CVE-2021-34527 را رفع کند. عاملین مخرب روی کامپیوترها یا سرورهای پچنشدهی مبتنی بر ویندوز میتوانند از آسیبپذیریها برای تحت کنترل درآوردن سیستم استفاده کنند زیرا Windows Print Spooler به طور پیشفرض روی همه سیستمهای ویندوزی فعال است. مایکروسافت از PrintNightmare برای CVE-2021-34527 استفاده میکند و نه CVE-2021-1675؛ با این حال بسیاری دیگر از آن برای هر دو آسیبپذیری استفاده میکنند. متخصصین ما هر دو آسیبپذیری را با جزئیات بررسی کردند و مطمئن شدند راهکارهای امنیتی کسپرسکی با فناوری پیشگیری از اکسپلویت و محافظت مبتنی بر رفتار میتوانند جلوی اکسپلویت شدن آنها را بگیرند.
چرا PrintNightmare خطرناک است؟
PrintNightmare به دو دلیل بسیار خطرناک است: اول اینکه Windows Print Spooler به طور پیشفرض روی همه سیستمهای ویندوزی فعالسازی شده است از جمله کنترلرهای دامنه و کامپیوترهایی با مزایای ادمین سیستم که این چنین کامپیوترهایی را آسیبپذیری میکند. دوم اینکه سوءتفاهم بین تیمهای محقق (و شاید یک اشتباه کوچک) به اکسپلویت اثبات مفهوم PrintNightmare و نشر آنلاینش منجر شد. محققین دخیل در این امر مطمئن بودند پچ ماه ژوئن مایکروسافت از پیش مشکل را حل کرده و از این رو کار خود را با جامعه متخصص به اشتراک گذاشتند. با این حال، این اکسپلویت هنز هم خطرناک است. PoC به سرعت برداشته شد اما قبل از آن بسیاری از گروهها آن را کپی کرده بوند و اصلاً برای همین است که متخصصین کسپرسکی اینطور پیشبینی میکنند که اقداماتی در راستای اکسپلویت کردن PrintNightmare افزایش یابد.
آسیبپذیریها و اکسپلویتشان
CVE-2021-1675 یک آسیبپذیری افزایش مزیت است که به مهاجم با مزیتهای دسترسی محدود اجازه میدهد تا برای اجرای یک اکسپلویت و دسترسی به مزایای بالاتر از فایل مخرب DLL استفاده کنند. با این حال این تنها زمانی ممکن است که مهاجم از قبل به کامپیوتر آسیبپذیری مربوطه دسترسی داشته باشد. مایکروسافت اینطور فکر میکند که چنین آسیبپذیری ریسک کمی دارد. اما CVE-2021-34527 به طور قابلملاحظهای خطرناکتر است. گرچه به هم شبیهاند اما این یکی در واقع نوعی آسیبپذیری اجرای کد ریموت (RCE) است که تزریق DLLها را ممکن میسازد. مایکروسافت از پیش شاهد چنین اکسپویتهایی در بیرون بوده است و سایت سکیورلیست هم در خصوص هر دو این آسیبپذیریها و تکنیکهای اکسپویتشان توضیات فنیای را به تفصیل ارائه داده است. از انجایی که مهاجمین میتوانند از PrintNightmare برای دسترسی به دادههای داخل زیرساخت سازمانی استفاده کنند همچنین ممکن است از همین اکسپلویت برای حملات باجافزاری نیز استفاده نمایند.
راهکارهای امنیتی
اولین قدم شما برای محافظت از خود در برابر حملات PrintNightmare نصب هر دو پچ از مایکروسافت است –هم ژوئن هم جولای. پیج دوم احیاناً اگر نتوانستید از پچها استفاده کنید یک سری راهکارهای مایکروسافتی ارائه میدهد- یکی از اینها حتی نیازی به غیرفعال کردن Windows Print Spooler هم ندارد. از این رو قویاً توصیه میکنیم Windows Print Spooler را روی کامپیوترهایی که بدان نیازی ندارند غیرفعال کنید. به طور خاص سرورهای کنترلر دامنه بعید است به قابلیت پرینت نیازی داشته باشند. افزون بر این همه سرورها و کامپیوترها به راهکارهای امنیتی اندپوینت قابلاطمینان نیاز دارند که جلوی اقدامات اکسپلویت را هم برای آسیبپذیریهای شناختهشده و هم ناشناس بگیرند (از جمله PrintNightmare).
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
