هشدار ماکروسافت درباره آسیبپذیری به تازگی کشف شده spooler چاپگر در سیستمعامل ویندوز
ماکروسافت دستورالعملی به عنوان راهنما در جهت کاهش آسیبپذیری Spooler چاپگر در سیستمعامل ویندوز تحت عنوان CVE-2021-34481 که با تازگی کشفشده است، منتشر نمود. با سؤاستفاده از این آسیبپذیری،یک مهاجم از داخل شبکه میتواند اقدام به اجرای کد دلخواه خود با امتیازات دسترسی ویژه SYSTEM کند. این نقص توسط یک محقق امنیتی به نام Jacob Baines از Dragos کشف و گزارش شدهاست.
«هنگاهی که سرویس Spooler چاپگر در سیستمعامل ویندوز بهطور نامناسبی عملیاتی با دسترسی ویژه را بر روی یک فایل اجرا میکند، امکان سؤاستفاده از این نقص در سطح دسترسی ویژه بوجود میآید. و مهاجمی که توانسته از این آسیبپذیری سؤاستفاده کند، قادر به اجرای کد دلخواه خود در سطح دسترسی ویژه SYSTEM خواهد بود. در نتیجه مهاجم میتواند اقدام به نصب برنامه، مشاهده، ویرایش و حذف دادهها یا ساختن اکانتهای جدید با سطح دسترسی کامل یک کاربر را داشته باشد. نکته مهم این است که مهاجم میباست داخلی باشد، یعنی قادر به اجرا کد بر روی سیستم قربانی را داشته باشد تا بتواند از این آسیبپذیری سؤاستفاده کند.»
برخلاف آسیبپذیری “PrintNightmare”، این نقص به تازگی کشف شده فقط باید توسط یک هکر داخلی اجرا شود، تا مهاجم بتواند دسترسی ویژه در سیستم آسیبپذیر را داشته باشد. به همین دلیل، امتیاز CVSS دریافت شده این آسیبپذیری 7.8 از 10 است.
به دلایل واضحی، ماکروسافت جزئیات فنی در مورد این آسیبپذیری را منشر نکرد. و تا زمان انتشار اولیه این خبر هنوز مشخص نبود که کدام نسخههای سیستمعامل ویندوز در خطر این آسیبپذیری قرار دارند. اما ماکروسافت به عنوان راه حل موقت این آسیبپذیری توصیه داشتهاست کاربران سرویس Print Spooler را موقتا متوقف و غیرفعال کنند.
در زیر راه حلهای ارائه شده در این دستورالعمل راهنما آمده است:
بررسی کنید که سرویس Print Spooler در حال اجرا هست یا خیر.
موارد زیر را در Windows PowerShell اجرا کنید:
Get-Service -Name Spooler
اگر Print Spooler در حال اجرا است یا سرویس غیرفعال نیست، این مراحل را انجام دهید:
سرویس Print Spooler را متوقف و غیرفعال کنید.
اگر توقف و غیرفعال کردن سرویس Print Spooler برای کار شما ایرادی بوجود نمیآورد، موارد زیر را در Windows PowerShell اجرا کنید:
Stop-Service -Name Spooler -Force
Set-Service -Name Spooler -StartupType Disabled
با غیر فعال کرده سرویس Print Spooler امکان چاپ بصورت Local و از راه دور از بین میرود.
آقای Baines قرار است جزئیات بیشتر درباری نقص CVE-2021-34481 کشف شده را در کنفرانس بعدی DEF CON به اشتراک بگذارد. او قرار است سخنرانی با عنوان “Bring Your Own Print Driver Vulnerability” داشته باشد.
در تاریخ 30 ژوئن، محققان بهطور عمومی PoC یا اثبات مربوط به آسیبپذیری PrintNightmare Print spooler (CVE-2021-34527) مبنی بر تاثیر گذاری این آسیبپذیری بر تمام نسخههای پشتیبانی شده سیستمعامل ویندوز بود، منتشر کردند.
مایکروسافت به عنوان بخشی از به روزرسانیهای Patch Tuesday به CVE-2021-1675 اشاره کرد ، اما بسیاری از کارشناسان گزارش دادند که Patch اولیه بهطور کامل این مشکل را برطرف نکرد.
پنجشنبه گذشته، ماکروسافت در اطلاعیه دیگری به نام « آسیبپذیری اجرای کد از راه دور Windows Print Spooler» منتشر کرد، که به احتمال زیاد همان آسیبپذیری ذکر شده قبلی است که با شماره CVE (CVE-2021-34527) دیگری قابل پیگیری است. در ادامه ماکروسافت اعلام کرد که این نقص کشف شده دوم از جهاتی مشابه آسیبپذیری PrintNightmare بود اما یک مشکل متفاوت است.
چهارشنبه گذشته، این غول فناوری اطلاعات برای رفع CVE-2021-34527 بروزرسانی خارج از برنامهای را برای نسخهها مختلفی از سیستمعامل ویندوز ارائه داده است که قرار است به نقص CVE-2021-1675 نیز رسیدگی کند.
در نهایت متخصصان متوجه شدند که این اصلاحیه برای رفع آسیبپذیری همچنان ناقص است.
