روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ اواخر ماه ژوئن، محققین امنیتی فعالانه در خصوص آسیب‌پذیری در سرویس Windows Print Spooler بحث می‌کردند. آن‌ها نام این آسیب‌پذیری را PrintNightmare گذاشته بودند. پچ، روز سه‌شنبه‌ای در همان ماه ژوئن منتشر شد که البته قرار بود این آسیب‌پذیری را رفع کند اما انگار حالا مشکل بغرنج‌تر نیز شده بود. در ادامه با ما همراه باشید تا شما را از چند و چون ماجرا باخبر سازیم.

این پچ، آسیب‌پذیری CVE-2021-1675 را بست اما موفق نشد آسیب‌پذیری  CVE-2021-34527 را رفع کند. عاملین مخرب روی کامپیوترها یا سرورهای پچ‌نشده‌ی مبتنی بر ویندوز می‌توانند از آسیب‌پذیری‌ها برای تحت کنترل درآوردن سیستم استفاده کنند زیرا Windows Print Spooler به طور پیش‌فرض روی همه سیستم‌های ویندوزی فعال است. مایکروسافت از  PrintNightmare برای CVE-2021-34527 استفاده می‌کند و نه CVE-2021-1675؛ با این حال بسیاری دیگر از آن برای هر دو آسیب‌پذیری استفاده می‌کنند. متخصصین ما هر دو آسیب‌پذیری را با جزئیات بررسی کردند و مطمئن شدند راهکارهای امنیتی کسپرسکی با فناوری پیشگیری از اکسپلویت و محافظت مبتنی بر رفتار می‌توانند جلوی اکسپلویت شدن آن‌ها را بگیرند.

چرا PrintNightmare خطرناک است؟

PrintNightmare به دو دلیل بسیار خطرناک است: اول اینکه Windows Print Spooler به طور پیش‌فرض روی همه سیستم‌های ویندوزی فعالسازی شده است از جمله کنترلرهای دامنه و کامپیوترهایی با مزایای ادمین سیستم که این چنین کامپیوترهایی را آسیب‌پذیری می‌کند. دوم اینکه سوءتفاهم بین تیم‌های محقق (و شاید یک اشتباه کوچک) به اکسپلویت اثبات مفهوم PrintNightmare و نشر آنلاینش منجر شد. محققین دخیل در این امر مطمئن بودند پچ ماه ژوئن مایکروسافت از پیش مشکل را حل کرده و از این رو کار خود را با جامعه متخصص به اشتراک گذاشتند. با این حال، این اکسپلویت هنز هم خطرناک است. PoC به سرعت برداشته شد اما قبل از آن بسیاری از گروه‌ها آن را کپی کرده بوند و اصلاً برای همین است که متخصصین کسپرسکی اینطور پیش‌بینی می‌کنند که اقداماتی در راستای اکسپلویت کردن PrintNightmare افزایش یابد.

آسیب‌پذیری‌ها و اکسپلویت‌شان

CVE-2021-1675 یک آسیب‌پذیری افزایش مزیت است که به مهاجم با مزیت‌های دسترسی محدود اجازه می‌دهد تا برای اجرای یک اکسپلویت و دسترسی به مزایای بالاتر از فایل مخرب DLL استفاده کنند. با این حال این تنها زمانی ممکن است که مهاجم از قبل به کامپیوتر آسیب‌پذیری مربوطه دسترسی داشته باشد. مایکروسافت اینطور فکر می‌کند که چنین آسیب‌پذیری ریسک کمی دارد. اما CVE-2021-34527 به طور قابل‌ملاحظه‌ای خطرناک‌تر است. گرچه به هم شبیه‌اند اما این یکی در واقع نوعی آسیب‌پذیری اجرای کد ریموت (RCE) است که تزریق DLLها را ممکن می‌سازد. مایکروسافت از پیش شاهد چنین اکسپویت‌هایی در بیرون بوده است و سایت سکیورلیست هم در خصوص هر دو این آسیب‌پذیری‌ها و تکنیک‌های اکسپویتشان توضیات فنی‌ای را به تفصیل ارائه داده است. از انجایی که مهاجمین می‌توانند از PrintNightmare برای دسترسی به داده‌های داخل زیرساخت سازمانی استفاده کنند همچنین ممکن است از همین اکسپلویت برای حملات باج‌افزاری نیز استفاده نمایند.

راهکارهای امنیتی

اولین قدم شما برای محافظت از خود در برابر حملات PrintNightmare نصب هر دو پچ از مایکروسافت است –هم ژوئن هم جولای. پیج دوم احیاناً اگر نتوانستید از پچ‌ها استفاده کنید یک سری راهکارهای مایکروسافتی ارائه می‌دهد- یکی از اینها حتی نیازی به غیرفعال کردن Windows Print Spooler هم ندارد. از این رو قویاً توصیه می‌کنیم Windows Print Spooler را روی کامپیوترهایی که بدان نیازی ندارند غیرفعال کنید. به طور خاص سرورهای کنترلر دامنه بعید است به قابلیت پرینت نیازی داشته باشند. افزون بر این همه سرورها و کامپیوترها به راهکارهای امنیتی اندپوینت قابل‌اطمینان نیاز دارند که جلوی اقدامات اکسپلویت را هم برای آسیب‌پذیری‌های شناخته‌شده و هم ناشناس بگیرند (از جمله PrintNightmare).

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.