هشدار ماکروسافت در مورد آسیب‌پذیری جدید Windows Print Spooler

هشدار ماکروسافت درباره آسیب‌پذیری به تازگی کشف شده spooler چاپگر در سیستم‌عامل ویندوز

ماکروسافت دستورالعملی به عنوان راهنما در جهت کاهش آسیب‌پذیری Spooler چاپگر در سیستم‌عامل ویندوز تحت عنوان CVE-2021-34481 که با تازگی کشف‌شده است، منتشر نمود. با سؤاستفاده از این آسیب‌پذیری،یک مهاجم از داخل شبکه می‌تواند اقدام به اجرای کد دلخواه خود با امتیازات دسترسی ویژه SYSTEM کند. این نقص توسط یک محقق امنیتی به نام Jacob Baines از Dragos کشف و گزارش شده‌است.

«هنگاهی که سرویس Spooler چاپگر در سیستم‌عامل ویندوز به‌طور نامناسبی عملیاتی با دسترسی ویژه را بر روی یک فایل اجرا می‌کند، امکان سؤاستفاده از این نقص در سطح دسترسی ویژه بوجود می‌آید. و مهاجمی که توانسته از این آسیب‌پذیری سؤاستفاده کند، قادر به اجرای کد دلخواه خود در سطح دسترسی ویژه SYSTEM خواهد بود. در نتیجه مهاجم می‌تواند اقدام به نصب برنامه، مشاهده، ویرایش و حذف داده‌ها یا ساختن اکانت‌های جدید با سطح دسترسی کامل یک کاربر را داشته باشد. نکته مهم این است که مهاجم می‌باست داخلی باشد، یعنی قادر به اجرا کد بر روی سیستم قربانی را داشته باشد تا بتواند از این آسیب‌پذیری سؤاستفاده کند.»

برخلاف آسیب‌پذیری “PrintNightmare”، این نقص به تازگی کشف شده فقط باید توسط یک هکر داخلی اجرا شود، تا مهاجم بتواند دسترسی ویژه در سیستم آسیب‌پذیر را داشته باشد. به همین دلیل، امتیاز CVSS دریافت شده این آسیب‌پذیری 7.8 از 10 است.
به دلایل واضحی، ماکروسافت جزئیات فنی در مورد این آسیب‌پذیری را منشر نکرد. و تا زمان انتشار اولیه این خبر هنوز مشخص نبود که کدام نسخه‌های سیستم‌عامل ویندوز در خطر این آسیب‌پذیری قرار دارند. اما ماکروسافت به عنوان راه حل موقت این آسیب‌پذیری توصیه داشته‌است کاربران سرویس Print Spooler را موقتا متوقف و غیرفعال کنند.
در زیر راه حل‌های ارائه شده در این دستورالعمل راهنما آمده است:
بررسی کنید که سرویس Print Spooler در حال اجرا هست یا خیر.

موارد زیر را در Windows PowerShell اجرا کنید:

Get-Service -Name Spooler

اگر Print Spooler در حال اجرا است یا سرویس غیرفعال نیست، این مراحل را انجام دهید:

سرویس Print Spooler را متوقف و غیرفعال کنید.

اگر توقف و غیرفعال کردن سرویس Print Spooler برای کار شما ایرادی بوجود نمی‌آورد، موارد زیر را در Windows PowerShell اجرا کنید:

Stop-Service -Name Spooler -Force
Set-Service -Name Spooler -StartupType Disabled

با غیر فعال کرده سرویس Print Spooler امکان چاپ بصورت Local و از راه دور از بین می‌رود.

آقای Baines قرار است جزئیات بیشتر درباری نقص CVE-2021-34481 کشف شده را در کنفرانس بعدی DEF CON به اشتراک بگذارد. او قرار است سخنرانی با عنوان “Bring Your Own Print Driver Vulnerability” داشته باشد.
در تاریخ 30 ژوئن، محققان به‌طور عمومی PoC یا اثبات مربوط به آسیب‌پذیری PrintNightmare Print spooler (CVE-2021-34527) مبنی بر تاثیر گذاری این آسیب‌پذیری بر تمام نسخه‌های پشتیبانی شده سیستم‌عامل ویندوز بود، منتشر کردند.
مایکروسافت به عنوان بخشی از به روزرسانی‌های Patch Tuesday به CVE-2021-1675 اشاره کرد ، اما بسیاری از کارشناسان گزارش دادند که Patch اولیه به‌طور کامل این مشکل را برطرف نکرد.
پنجشنبه گذشته، ماکروسافت در اطلاعیه دیگری به نام « آسیب‌پذیری اجرای کد از راه دور Windows Print Spooler» منتشر کرد، که به احتمال زیاد همان آسیب‌پذیری ذکر شده قبلی است که با شماره CVE (CVE-2021-34527) دیگری قابل پیگیری است. در ادامه ماکروسافت اعلام کرد که این نقص کشف شده دوم از جهاتی مشابه آسیب‌پذیری PrintNightmare بود اما یک مشکل متفاوت است.
چهارشنبه گذشته، این غول فناوری اطلاعات برای رفع CVE-2021-34527 بروزرسانی خارج از برنامه‌ای را برای نسخه‌ها مختلفی از سیستم‌عامل ویندوز ارائه داده است که قرار است به نقص CVE-2021-1675 نیز رسیدگی کند.
در نهایت متخصصان متوجه شدند که این اصلاحیه برای رفع آسیب‌پذیری همچنان ناقص است.