شناسایی ۲ صدمه پذیری خطرناك در ویندوز
به گزارش تجهیزات جانبی مایکروسافت از شناسایی ۲ صدمه پذیری در ویندوز اطلاع داده که سطح دسترسی روی سیستم های ویندوزی صدمه پذیر را برای مهاجم فراهم می آورد و برای مقابله با آن لازم است هرچه سریع تر محصولات صدمه پذیر بروزرسانی شود.
به گزارش تجهیزات جانبی به نقل از ایسنا، به تازگی یک صدمه پذیری با شناسه CVE-2021-1675 و شدت بالا (۷.۸ از ۱۰) در سرویس Print Spooler ویندوز کشف شده است که بهره برداری از آن امکان ارتقای امتیاز و افزایش سطح دسترسی روی سیستم های ویندوزی صدمه پذیر را برای مهاجم فراهم می آورد و مرکز ماهر (مدیریت امداد و هماهنگی رخدادهای کامپیوتر ای) اخطار داده که مهاجم برای بهره برداری به امتیاز یا دسترسی بالایی نیاز ندارد.
مایکروسافت از وجود یک صدمه پذیری دیگر در سرویس Print Spooler اطلاع داد که با نام PrintNightmare و شناسه CVE-2021-34527 شناخته می شود. بهره برداری از این صدمه پذیری روزصفرم امکان اجرای کد از راه دور با دسترسی SYSTEM روی سیستم صدمه پذیر، نصب برنامه، مشاهده، تغییر یا حذف اطلاعات و ایجاد حساب های کاربری با دسترسی کامل را برای مهاجم احراز هویت شده فراهم می آورد. سرویس Print Spooler به صورت پیش فرض در سیستم های ویندوزی در حال اجرا می باشد و برای اجرا احتیاج به اتصال به یک دستگاه پرینتر ندارد. مایکروسافت از این صدمه پذیری بعنوان یک صدمه پذیری بحرانی یاد کرده است ازاین رو هرچه سریع تر نسبت به بروزرسانی محصولات صدمه پذیر اقدام کنید.
در ویندوز سرورهایی که بعنوان کنترل کننده دامنه (DC) فعالیت می نمایند و سیستم های که فیلد «NoWarningNoElevationOnInstall» در تنظیمات group policy، با مقدار «یک» تنظیم شده باشد، دریافت وصله امنیتی در رفع صدمه پذیری موثر نخواهد بود و باید نسبت به غیرفعال کردن (Disable) سرویس Print Spooler در این سیستم ها اقدام گردد. تابحال وصله امنیتی که صدمه پذیری را به صورت کامل برطرف کند، توسط مایکروسافت منتشر نشده است و کد اکسپلویت این صدمه پذیری طی چند روز اخیر در سطح اینترنت انتشار یافته و در اختیار عموم قرار گرفته است.
با عنایت به این که یکی از کدهای اکسپلویت به صورت خاص کنترل کننده های دامنه (DC Active Directory) را هدف قرار داده است سفارش می شود اگر از ویندوز سرور بعنوان کنترل کننده ی دامنه (DC) استفاده می کنید، سرویس Print spooler ویندوز را در کنترل کننده های دامنه و سیستم های که از خدمت پرینت استفاده نمی کنند (با تغییر Group Policy)، غیرفعال کنید تا در صورت هدف قرار گرفتن توسط مهاجمان، کل شبکه داخلی سازمان تحت اختیار مهاجمان قرار نگیرد. توجه داشته باشید که سرویس باید غیرفعال شود (disabled) نه متوقف (Stopped)؛ چونکه در صورت متوقف کردن سرویس، مهاجم می تواند باردیگر آنرا راه اندازی کند.
از آنجائیکه عمدتا کلاینت ها احتیاج به استفاده از این سرویس دارند به جای غیرفعال کردن سرویس، میتوان پیکربندی آنرا طوری تغییر داد که امکان برقراری اتصال از سایر کلاینت از بین برود و به این منظور به صورت محلی یا با استفاده از تنظیمات Group Policy مطابق شکل زیر«Allow Print Spooler to accept client connections» را روی Disabled تنظیم کنید. صدمه پذیری های موجود در سرویس Print Spooler پیشتر هم توسط بدافزارها و ویروس های کامپیوتری مورد بهره برداری قرار گرفته اند.
این مطلب را می پسندید؟
(1)
(0)
تازه ترین مطالب مرتبط
نظرات بینندگان در مورد این مطلب