ماجرای باگ امنیتی PrintNightmare؛ آسیبپذیری خطرناکی که کامل رفع نشد
بهگزارش arstechnica، معمولا مایکروسافت بهروزرسانیهای متعددی برای کاربرانش بهعنوان بخشی از فرایند ماهانه Patch Tuesday منتشر میکند؛ اما این شرکت روز دوشنبه بهروزرسانی امنیتی اضطراریای انتشار کرد تا بتواند آسیبپذیری مهم و خطرناکی به اسم PrintNightmare را رفع کند.
طبق جدیدترین بررسی محققان، مشخص شد پچ اضطراری منتشرشده نمیتواند آسیبپذیری امنیتی مذکور را در تمام نسخههای پشتیبانیشده ویندوز کاملا برطرف کند و حتی پس از نصب آن نیز به مهاجمان اجازه داده میشود سیستمهای آلوده را کنترل و کدهای مدنظرشان را اجرا کنند.
آسیبپذیری PrintNightmare چیست؟
این تهدید از اشکالات موجود در پرینتر ویندوز سوءاستفاده میکند و محققان این آسیبپذیری را با کد CVE-2021-34527 ردیابی میکنند. باگ PrintNightmare به سرویس Windows Print Spooler حمله میکند که بهطور پیشفرض اجرا میشود. در خلاصه بیانیه اجرایی مایکروسافت آمده است:
هنگامیکه سرویس Windows Print Spooler بهطور نامناسب عملیاتش را انجام میدهد، آسیبپذیریای در اجرای کد وجود دارد. مهاجمی که با موفقیت از این باگ سوءاستفاده کند، میتواند کد دلخواه را با امتیازات سیستم اجرا و برنامهها را نصب و دادههایشان را مشاهده کند یا آنها را تغییر داده یا حذف و حتی حسابهای جدیدی با حقوق کامل کاربر ایجاد کند.
بهعبارتدیگر، PrintNightmare به مهاجمان اجازه میدهد ازطریق اینترنت وارد سیستمتان شوند و روی آن اختیار کامل داشته باشند. مایکروسافت هشدار میدهد: «تمام نسخههای پشتیبانیشده ویندوز تحتتأثیر این آسیبپذیری هستند.»
ویل دورمن، تحلیلگر ارشد آسیبپذیری در مرکز هماهنگی CERT، پروژهای غیرانتفاعی با بودجه فدرال ایالات متحده آمریکا، درباره اشکالات نرمافزاری تحقیق میکند. وی میگوید:
این یکی از مسائل مهمی است که در سالهای اخیر به آن برخورد کردهام. هر زمان خبری از کد آسیبپذیری باشد که هنوز پچ امنیتی کامل آن منتشر نشده و میتواند کنترلکننده دامنه ویندوز را بهخطر بیندازد، اتفاقات خوشایندی رخ نمیدهد.
پچهای امنیتی مایکروسافت و باگی که کامل رفع نشد
این شرکت پچهای امنیتی اضطراری را برای اکثر نسخههای ویندوز ۱۰، ویندوز ۸.۱، ویندوز RT 8.1 و گزینههای مختلف Windows Server منتشر کرد. مایکروسافت هنگام انتشار آنها اعلام کرد: «نسخههای پشتیبانیشده ویندوز که بهروزرسانی آنها در ۶ جولای منتشر نشده است، اندکی پس از این تاریخ بهروز میشوند.» این آسیبپذیری بهقدری قدرتمند بود که حتی برای ویندوز ۷ نیز پچ امنیتی منتشر شد؛ نسخهای که سال گذشته صحبتهای بازنشستهشدنش بود.
آن زمان مایکروسافت این پچها را تنها بهعنوان اصلاح موقت منتشر کرده بود و متیو هیکی، محقق امنیتی، گفت این گزینهها فقط خطر کنترل از راه دور را از بین میبرند. این بدانمعنا بود که اگر مهاجمی موفق شود ازنظر فیزیکی به سیستمتان دسترسی داشته باشد، هنوزهم میتواند از PrintNightmare استفاده کند تا کنترل آن را بهدست آورد.
زمان زیادی از انتشار بهروزرسانی اضطراری نگذشته بود که مشخص شد مهاجمان میتوانند پچ امنیتی را دور بزنند. بنیامین دلپی، توسعهدهنده نرمافزار هک و شبکه Mimikatz و چندین نرمافزار دیگر، در بخشی از توییتش میگوید: «سروکلهزدن با رشتهها و نام فایلها دشوار است.»
Dealing with strings & filenames is hard😉New function in #mimikatz 🥝to normalize filenames (bypassing checks by using UNC instead of \\server\share format)So a RCE (and LPE) with #printnightmare on a fully patched server, with Point & Print enabled> https://github.com/gentilkiwi/mimikatz/releases pic.twitter.com/HTDf004N7r— 🥝 Benjamin Delpy (@gentilkiwi) July 7, 2021
ویدئویی نیز همراه توییت منتشر شده بود که نشان میداد چگونه مهاجمان میتوانند پچ امنیتی جدید نصبشده روی Windows Server 2019 را دور بزنند. نسخه دمو نشان میدهد بهروزرسانی مذکور مشکل سیستمهای آسیبپذیریای را برطرف نمیکند که از تنظیمات خاصی برای ویژگی به نام point and print استفاده میکنند. این قابلیت باعث میشود دسترسی کاربران شبکه به درایورهای چاپگر موردنیاز آسانتر شود. درواقع، ویژگی مذکور ارتباط مستقیمی با این آسیبپذیری ندارد؛ ولی این فناوری وضعیت امنیتی محلی را ضعیف میکند؛ بهگونهای که امکان سوءاستفاده از آن بهوجود میآید.
ازکارافتادن بعضی از چاپگرها پس از نصب پچ امنیتی
گویی داستان نقص امنیتی خطرناک ویندوز بهاندازه کافی بد نبوده است؛ زیرا بعضی از کاربران که پچ امنیتی منتشرشده برای آن را نصب کرده بودند، متوجه شدهاند اتصال آنها به چاپگرشان قطع شده است. بهار امسال نیز مشکل مشابه دیگری با بهروزرسانی امنیتی متفاوت ویندوز ۱۰ رخ داد و ادمینهای سیستم متوجه شدند بسیاری از کامپیوترهای شخصی پس از نصب پچ KB5004945 بهطور ناگهانی نمیتوانند به چاپگرها (بهویژه چندین مدل چاپگرهای برند Zebra) متصل شوند.
مایکروسافت بر مشکل مذکور بهعنوان مسئلهای شناختهشده تأیید کرده و گفته است میتوان آن را با بازگرداندنی پچ یا نصب مجدد چاپگر حل کرد. دراینمیان، Zebra با انتشار بیانیهای اذعان کرد این مشکل وجود دارد و مایکروسافت میخواهد تا چند روز آینده پچ بهروزشدهای برای رسیدگی به این مسئله بهروز کند:
ما از مشکل ناشی از بهروزرسانی KB5004945 در ۶ جولای آگاهیم که برندهای مختلف چاپگر را تحتتأثیر قرار میدهد. مایکروسافت این مسئله را بررسی کرده است و قصد دارد در یکیدو روز آینده بهروزرسانیای برای این مسئله منتشر کند. راه فوری برای رفع مشکل مذکور این است که بهروزرسانی KB5004945 را نصب یا درایور چاپگر آسیبدیده را حذف و آن را دوباره نصب کنید. مشتریانی که در کار با چاپگر Zebra به کمک نیاز دارند، میتوانند با تیم پشتیبانی فنی ما تماس بگیرید.
مشکلات پیشآمده برای کاربران مایکروسافت
یکی از مشکلات پیشآمده برای کاربران مایکروسافت که به آسیبپذیری PrintNightmare مربوط میشود، ناقصبودن پچ امنیتی منتشر شده است. ماه گذشته، پچ امنیتی ماهانه مایکروسافت CVE-2021-1675 را برطرف کرد؛ باگی که به هکرها دسترسیهای مختلفی میداد. مایکروسافت کشف و گزارش این باگ را به زیپنگ هو و پیوتر مادج و یونهای ژانگ نسبت داده است.
چند هفته بعد، دو محقق مختلف با نامهای ژینیانگ پنگ و ژوفانگ لی تحلیلی از CVE-2021-1675 منتشر کردند که نشان میداد از آن میتوان نهتنها برای افزایش امتیازها، بلکه برای دستیابی به اجرای کد از راه دور نیز بهره برد. محققان کشفشان را PrintNightmare نامگذاری کردند. سرانجام، آنان تشخیص دادند PrintNightmare از آسیبپذیری مشابه، اما متفاوت با CVE-2021-1675 استفاده میکند. درحالحاضر، حداقل سه مورد مختلف از آن دردسترس عموم قرار دارد، بعضی از آنها قابلیتهایی دارند که فراتر از حد مجاز آسیبپذیری اولیه است.
اعمال محدودیتهای شدیدتر با پچ امنیتی مایکروسافت
رفع اشکال مایکروسافت از سرورهای ویندوزیای محافظت میکند که بهعنوان کنترلکننده دامنه یا دستگاههای ویندوز ۱۰ از تنظیمات پیشفرض استفاده میکنند. نسخه دمو روز چهارشنبه نشان میدهد PrintNightmare دربرابر طیف وسیعتری از سیستمها کار میکند؛ ازجمله آنهایی که ویژگی Point and Print را فعال یا گزینه NoWarningNoElevationOnInstallet را انتخاب کردهاند.
علاوهبر تلاش برای ازبینبردن آسیبپذیری مذکور، اصلاحیه منتشرشده مکانیزم جدیدی به دستگاه اضافه میکند که به ادمینهای ویندوز اجازه میدهد محدودیتهای شدیدتری هنگام نصب نرمافزارهای چاپگر اعمال کنند. مشاور امنیتی مایکروسافت اظهار کرد:
قبل از نصب بهروزرسانی ۶ جولای ۲۰۲۱ و نسخههای جدیدتر ویندوز که حاوی محافظی دربرابر CVE-2021-34527 بودند، گروه امنیتی اپراتورهای چاپگر میتوانستند هر دو درایورهای تأییدشده و تأیید نشده را روی سرور چاپگر نصب کنند. با نصب این بهروزرسانیها، تنها موارد تأییدشده میتوانند نصب شوند. برای نصب درایورهای چاپگر دیگر روی سرور، به تأیید ادمین نیاز است.
درنهایت، باید گفت با وجود ناقصبودن پچ امنیتی منتشرشده، هنوزهم نصب آن برای سیستمها واجب است؛ زیرا در اکثر مواقع میتوانند جلو مهاجمان را بگیرند. درنتیجه، کاربران موظف هستند برای امنیت دستگاههایشان پچهای امنیتی منتشرشده را دانلود و نصب کنند.
نظرات