شناسایی 2 آسیب پذیری خطرناک در ویندوز - وبلاگ فرافایلی

به گزارش وبلاگ فرافایلی، مایکروسافت از شناسایی 2 آسیب پذیری در ویندوز خبر داده که سطح دسترسی روی سیستم های ویندوزی آسیب پذیر را برای مهاجم فراهم می کند و برای مقابله با آن لازم است هرچه سریع تر محصولات آسیب پذیر به روزرسانی شود.

به گزارش وبلاگ فرافایلی، اخیرا یک آسیب پذیری با شناسه CVE-2021-1675 و شدت بالا (7.8 از 10) در سرویس Print Spooler ویندوز کشف شده است که بهره برداری از آن امکان ارتقای امتیاز و افزایش سطح دسترسی روی سیستم های ویندوزی آسیب پذیر را برای مهاجم فراهم می کند و مرکز ماهر (مدیریت امداد و هماهنگی رخدادهای رایانه ای) هشدار داده که مهاجم برای بهره برداری به امتیاز یا دسترسی بالایی نیاز ندارد.

مایکروسافت از وجود یک آسیب پذیری دیگر در سرویس Print Spooler خبر داد که با نام PrintNightmare و شناسه CVE-2021-34527 شناخته می شود.

بهره برداری از این آسیب پذیری روزصفرم امکان اجرای کد از راه دور با دسترسی SYSTEM روی سیستم آسیب پذیر، نصب برنامه، مشاهده، تغییر یا حذف اطلاعات و ایجاد حساب های کاربری با دسترسی کامل را برای مهاجم احراز هویت شده فراهم می کند.

سرویس Print Spooler به صورت پیش فرض در سیستم های ویندوزی در حال اجرا است و برای اجرا نیاز به اتصال به یک دستگاه پرینتر ندارد.

مایکروسافت از این آسیب پذیری به نام یک آسیب پذیری بحرانی یاد کرده است بنابراین هرچه سریع تر نسبت به به روزرسانی محصولات آسیب پذیر اقدام کنید.

در ویندوز سرورهایی که به نام کنترل کننده دامنه (DC) فعالیت می کنند و سیستم های که فیلد NoWarningNoElevationOnInstall در تنظیمات group policy، با مقدار یک تنظیم شده باشد، دریافت وصله امنیتی در برطرف آسیب پذیری موثر نخواهد بود و باید نسبت به غیبرطرفال کردن (Disable) سرویس Print Spooler در این سیستم ها اقدام شود.

تا به امروز وصله امنیتی که آسیب پذیری را به طور کامل برطرف کند، از طریق مایکروسافت منتشر نشده است و کد اکسپلویت این آسیب پذیری طی چند روز اخیر در سطح اینترنت منتشر شده و در اختیار عموم قرار گرفته است.

با توجه به اینکه یکی از کدهای اکسپلویت به طور خاص کنترل کننده های دامنه (DC Active Directory) را هدف قرار داده است توصیه می شود اگر از ویندوز سرور به نام کنترل کننده دامنه (DC) استفاده می کنید، سرویس Print spooler ویندوز را در کنترل کننده های دامنه و سیستم های که از خدمت پرینت استفاده نمی کنند (با تغییر Group Policy)، غیبرطرفال کنید تا در صورت هدف قرار گرفتن از طریق مهاجمان، کل شبکه داخلی سازمان تحت اختیار مهاجمان قرار نگیرد.

توجه داشته باشید که سرویس باید غیبرطرفال شود (disabled) نه متوقف (Stopped)؛ زیرا در صورت متوقف کردن سرویس، مهاجم می تواند مجددا آن را راه اندازی کند.

از آنجا که عموما کلاینت ها نیاز به استفاده از این سرویس دارند به جای غیبرطرفال کردن سرویس، می توان پیکربندی آن را طوری تغییر داد که امکان برقراری اتصال از سایر کلاینت از بین برود و به این منظور به صورت محلی یا با استفاده از تنظیمات Group Policy مطابق شکل زیرAllow Print Spooler to accept client connections را روی Disabled تنظیم کنید.

آسیب پذیری های موجود در سرویس Print Spooler پیش تر هم از طریق بدافزارها و ویروس های کامپیوتری مورد بهره برداری قرار گرفته اند.

منبع: ایسنا