خط رند ۹۱۲: مایکروسافت از شناسایی ۲ لطمه پذیری در ویندوز آگاهی داده که سطح دسترسی روی سیستم های ویندوزی لطمه پذیر را برای مهاجم فراهم می آورد و برای مقابله با آن لازم است هرچه سریع تر محصولات لطمه پذیر بروزرسانی شود.
به گزارش خط رند ۹۱۲ به نقل از ایسنا، بتازگی یک لطمه پذیری با شناسه CVE-2021-1675 و شدت بالا (۷.۸ از ۱۰) در سرویس Print Spooler ویندوز کشف شده است که بهره برداری از آن امکان ارتقای امتیاز و افزایش سطح دسترسی روی سیستم های ویندوزی لطمه پذیر را برای مهاجم فراهم می آورد و مرکز ماهر (مدیریت امداد و هماهنگی رخدادهای کامپیوتر ای) هشدار داده که مهاجم برای بهره برداری به امتیاز یا دسترسی بالایی نیاز ندارد.
مایکروسافت از وجود یک لطمه پذیری دیگر در سرویس Print Spooler آگاهی داد که با نام PrintNightmare و شناسه CVE-2021-34527 شناخته می شود. بهره برداری از این لطمه پذیری روزصفرم امکان اجرای کد ازراه دور با دسترسی SYSTEM روی سیستم لطمه پذیر، نصب برنامه، مشاهده، تغییر یا حذف اطلاعات و ایجاد حساب های کاربری با دسترسی کامل را برای مهاجم احراز هویت شده فراهم می آورد. سرویس Print Spooler بصورت پیش فرض در سیستم های ویندوزی در حال اجراست و برای اجرا نیاز به اتصال به یک دستگاه پرینتر ندارد. مایکروسافت از این لطمه پذیری بعنوان یک لطمه پذیری بحرانی یاد کرده است بدین سبب هرچه سریع تر نسبت به بروزرسانی محصولات لطمه پذیر اقدام کنید.
در ویندوز سرورهایی که بعنوان کنترل کننده دامنه (DC) فعالیت می نمایند و سیستم های که فیلد «NoWarningNoElevationOnInstall» در تنظیمات group policy، با مقدار «یک» تنظیم شده باشد، دریافت وصله امنیتی در رفع لطمه پذیری موثر نخواهد بود و باید نسبت به غیرفعال کردن (Disable) سرویس Print Spooler در این سیستم ها اقدام گردد. تا حالا وصله امنیتی که لطمه پذیری را بطور کامل برطرف کند، توسط مایکروسافت منتشر نشده است و کد اکسپلویت این لطمه پذیری طی چند روز اخیر در سطح اینترنت انتشار یافته و در اختیار عموم قرار گرفته است.
با توجه به این که یکی از کدهای اکسپلویت بطور خاص کنترل کننده های دامنه (DC Active Directory) را هدف قرار داده است سفارش می شود اگر از ویندوز سرور بعنوان کنترل کننده ی دامنه (DC) استفاده می کنید، سرویس Print spooler ویندوز را در کنترل کننده های دامنه و سیستم های که از خدمت پرینت استفاده نمی کنند (با تغییر Group Policy)، غیرفعال کنید تا در صورت هدف قرار گرفتن توسط مهاجمان، کل شبکه داخلی سازمان تحت اختیار مهاجمان قرار نگیرد. توجه داشته باشید که سرویس باید غیرفعال شود (disabled) نه متوقف (Stopped)؛ برای اینکه در صورت متوقف کردن سرویس، مهاجم می تواند باردیگر آنرا راه اندازی کند.
از آنجائیکه عموما کلاینت ها نیاز به استفاده از این سرویس دارند بجای غیرفعال کردن سرویس، می توان پیکربندی آنرا طوری تغییر داد که امکان برقراری اتصال از سایر کلاینت از بین برود و به این منظور بصورت محلی یا با بهره گیری از تنظیمات Group Policy مطابق شکل زیر«Allow Print Spooler to accept client connections» را روی Disabled تنظیم کنید. لطمه پذیری های موجود در سرویس Print Spooler قبل تر نیز توسط بدافزارها و ویروس های کامپیوتری مورد بهره برداری قرار گرفته اند.
منبع: rond912.ir
