ماجرای باگ امنیتی PrintNightmare؛ آسیب‌پذیری خطرناکی که کامل رفع نشد

به‌گزارش arstechnica، معمولا مایکروسافت به‌روزرسانی‌های متعددی برای کاربرانش به‌عنوان بخشی از فرایند ماهانه Patch Tuesday منتشر می‌کند؛ اما این شرکت روز دوشنبه به‌روزرسانی امنیتی اضطراری‌ای انتشار کرد تا بتواند آسیب‌پذیری مهم و خطرناکی به اسم PrintNightmare را رفع کند.

طبق جدیدترین بررسی محققان، مشخص شد پچ اضطراری منتشر‌شده نمی‌تواند آسیب‌پذیری امنیتی مذکور را در تمام نسخه‌های پشتیبانی‌شده ویندوز کاملا برطرف کند و حتی پس از نصب آن نیز به مهاجمان اجازه داده می‌شود سیستم‌های آلوده را کنترل و کدهای مدنظرشان را اجرا کنند.

این تهدید از اشکالات موجود در پرینتر ویندوز سوءاستفاده می‌کند و محققان این آسیب‌پذیری را با کد CVE-2021-34527 ردیابی می‌کنند. باگ PrintNightmare به سرویس Windows Print Spooler حمله می‌کند که به‌طور پیش‌فرض اجرا می‌شود. در خلاصه بیانیه اجرایی مایکروسافت آمده است:

هنگامی‌که سرویس Windows Print Spooler به‌طور نامناسب عملیاتش را انجام می‌دهد، آسیب‌پذیری‌ای در اجرای کد وجود دارد. مهاجمی که با موفقیت از این باگ سوءاستفاده کند، می‌تواند کد دلخواه را با امتیازات سیستم اجرا و برنامه‌ها را نصب و داده‌هایشان را مشاهده کند یا آن‌ها را تغییر داده یا حذف و حتی حساب‌های جدیدی با حقوق کامل کاربر ایجاد کند.

به‌عبارت‌دیگر، PrintNightmare به مهاجمان اجازه می‌دهد از‌طریق اینترنت وارد سیستمتان شوند و روی آن اختیار کامل داشته باشند. مایکروسافت هشدار می‌دهد: «تمام نسخه‌های پشتیبانی‌شده ویندوز تحت‌تأثیر این آسیب‌پذیری هستند.»

ویل دورمن، تحلیلگر ارشد آسیب‌پذیری در مرکز هماهنگی CERT، پروژه‌ای غیرانتفاعی با بودجه فدرال ایالات متحده آمریکا، درباره اشکالات نرم‌افزاری تحقیق می‌کند. وی می‌گوید:

این یکی از مسائل مهمی است که در سال‌های اخیر به آن برخورد کرده‌ام. هر زمان خبری از کد آسیب‌پذیری باشد که هنوز پچ امنیتی کامل آن منتشر نشده و می‌تواند کنترل‌کننده دامنه ویندوز را به‌خطر بیندازد، اتفاقات خوشایندی رخ نمی‌دهد. 

این شرکت پچ‌های امنیتی اضطراری را برای اکثر نسخه‌های ویندوز ۱۰، ویندوز ۸.۱، ویندوز RT 8.1 و گزینه‌های مختلف Windows Server منتشر کرد. مایکروسافت هنگام انتشار آن‌ها اعلام کرد:  «نسخه‌های پشتیبانی‌شده ویندوز که به‌روزرسانی آن‌ها در ۶ جولای منتشر نشده است، اندکی پس از این تاریخ به‌روز می‌شوند.» این آسیب‌پذیری به‌قدری قدرتمند بود که حتی برای ویندوز ۷ نیز پچ امنیتی منتشر شد؛ نسخه‌ای که سال گذشته صحبت‌های بازنشسته‌شدنش بود.

آن زمان مایکروسافت این پچ‌ها را تنها به‌عنوان اصلاح موقت منتشر کرده بود و متیو هیکی، محقق امنیتی، گفت این گزینه‌ها فقط خطر کنترل از راه دور را از بین می‌برند. این بدان‌معنا بود که اگر مهاجمی موفق شود ازنظر فیزیکی به سیستمتان دسترسی داشته باشد، هنوزهم می‌تواند از PrintNightmare استفاده کند تا کنترل آن را به‌دست آورد.

زمان زیادی از انتشار به‌روزرسانی اضطراری نگذشته بود که مشخص شد مهاجمان می‌توانند پچ امنیتی را دور بزنند. بنیامین دلپی، توسعه‌دهنده نرم‌افزار هک و شبکه Mimikatz و چندین نرم‌افزار دیگر، در بخشی از توییتش می‌گوید: «سروکله‌زدن با رشته‌ها و نام فایل‌ها دشوار است.»

Dealing with strings & filenames is hard😉New function in #mimikatz 🥝to normalize filenames (bypassing checks by using UNC instead of \\server\share format)So a RCE (and LPE) with #printnightmare on a fully patched server, with Point & Print enabled> https://github.com/gentilkiwi/mimikatz/releases pic.twitter.com/HTDf004N7r— 🥝 Benjamin Delpy (@gentilkiwi) July 7, 2021

ویدئویی نیز همراه توییت منتشر شده بود که نشان می‌داد چگونه مهاجمان می‌توانند پچ امنیتی جدید نصب‌شده روی Windows Server 2019 را دور بزنند. نسخه دمو نشان می‌دهد به‌روزرسانی مذکور مشکل سیستم‌های آسیب‌پذیری‌ای را برطرف نمی‌کند که از تنظیمات خاصی برای ویژگی به نام point and print استفاده می‌کنند. این قابلیت باعث می‌شود دسترسی کاربران شبکه به درایورهای چاپگر موردنیاز آسان‌تر شود. درواقع، ویژگی مذکور ارتباط مستقیمی با این آسیب‌پذیری ندارد؛ ولی این فناوری وضعیت امنیتی محلی را ضعیف می‌کند؛ به‌گونه‌ای که امکان سوءاستفاده از آن به‌وجود می‌آید.

گویی داستان نقص امنیتی خطرناک ویندوز به‌اندازه کافی بد نبوده است؛ زیرا بعضی از کاربران که پچ امنیتی منتشر‌شده برای آن را نصب کرده بودند، متوجه شده‌اند اتصال آن‌ها به چاپگرشان قطع شده است. بهار امسال نیز مشکل مشابه دیگری با به‌روزرسانی امنیتی متفاوت ویندوز ۱۰ رخ داد و ادمین‌های سیستم متوجه شدند بسیاری از کامپیوتر‌های شخصی پس از نصب پچ KB5004945 به‌طور ناگهانی نمی‌توانند به چاپگرها (به‌ویژه چندین مدل چاپگرهای برند Zebra) متصل شوند.

مایکروسافت بر مشکل مذکور به‌عنوان مسئله‌ای شناخته‌شده تأیید کرده و گفته است می‌توان آن را با بازگرداندنی پچ یا نصب مجدد چاپگر حل کرد. در‌این‌میان، Zebra با انتشار بیانیه‌ای اذعان کرد این مشکل وجود دارد و مایکروسافت می‌خواهد تا چند روز آینده پچ به‌روز‌شده‌ای برای رسیدگی به این مسئله به‌روز کند:

ما از مشکل ناشی از به‌روزرسانی KB5004945 در ۶ جولای آگاهیم که برندهای مختلف چاپگر را تحت‌تأثیر قرار می‌دهد. مایکروسافت این مسئله را بررسی کرده است و قصد دارد در یکی‌دو روز آینده به‌روزرسانی‌ای برای این مسئله منتشر کند. راه فوری برای رفع مشکل مذکور این است که به‌روزرسانی KB5004945 را نصب یا درایور چاپگر آسیب‌دیده را حذف و آن را دوباره نصب کنید. مشتریانی که در کار با چاپگر Zebra به کمک نیاز دارند، می‌توانند با تیم پشتیبانی فنی ما تماس بگیرید.

یکی از مشکلات پیش‌آمده برای کاربران مایکروسافت که به آسیب‌پذیری PrintNightmare مربوط می‌شود، ناقص‌بودن پچ امنیتی منتشر شده است. ماه گذشته، پچ امنیتی ماهانه مایکروسافت CVE-2021-1675 را برطرف کرد؛ باگی که به هکرها دسترسی‌های مختلفی می‌داد. مایکروسافت کشف و گزارش این باگ را به زیپنگ هو و پیوتر مادج و یونهای ژانگ نسبت داده است.

• نقض امنیتی پردازنده M1 امکان برقراری ارتباط بین برنامه‌ها را فراهم می‌کند
• حمله امنیتی CacheOut پردازنده‌های اینتل را هدف قرار می‌دهد

چند هفته بعد، دو محقق مختلف با نام‌های ژینیانگ پنگ و ژوفانگ لی تحلیلی از CVE-2021-1675 منتشر کردند که نشان می‌داد از آن می‌توان نه‌تنها برای افزایش امتیازها، بلکه برای دستیابی به اجرای کد از راه دور نیز بهره برد. محققان کشفشان را PrintNightmare نام‌گذاری کردند. سرانجام، آنان تشخیص دادند PrintNightmare از آسیب‌پذیری مشابه، اما متفاوت با CVE-2021-1675 استفاده می‌کند. در‌حال‌حاضر، حداقل سه مورد مختلف از آن‌ دردسترس عموم قرار دارد، بعضی از آن‌ها قابلیت‌هایی دارند که فراتر از حد مجاز آسیب‌پذیری اولیه است.

رفع اشکال مایکروسافت از سرورهای ویندوزی‌ای محافظت می‌کند که به‌عنوان کنترل‌کننده دامنه یا دستگاه‌های ویندوز ۱۰ از تنظیمات پیش‌فرض استفاده می‌کنند. نسخه دمو روز چهارشنبه نشان می‌دهد PrintNightmare دربرابر طیف وسیع‌تری از سیستم‌ها کار می‌کند؛ از‌جمله آن‌هایی که ویژگی Point and Print را فعال یا گزینه NoWarningNoElevationOnInstallet را انتخاب کرده‌اند.

علاوه‌بر تلاش برای از‌بین‌بردن آسیب‌پذیری مذکور، اصلاحیه منتشرشده مکانیزم جدیدی به دستگاه اضافه می‌کند که به ادمین‌های ویندوز اجازه می‌دهد محدودیت‌های شدیدتری هنگام نصب نرم‌افزارهای چاپگر اعمال کنند. مشاور امنیتی مایکروسافت اظهار کرد:

قبل از نصب به‌روزرسانی‌ ۶ جولای ۲۰۲۱ و نسخه‌های جدیدتر ویندوز که حاوی محافظی دربرابر CVE-2021-34527 بودند، گروه امنیتی اپراتورهای چاپگر می‌توانستند هر دو درایورهای تأییدشده و تأیید نشده را روی سرور چاپگر نصب کنند. با نصب این به‌روزرسانی‌ها، تنها موارد تأییدشده می‌توانند نصب شوند. برای نصب درایورهای چاپگر دیگر روی سرور، به تأیید ادمین نیاز است.

درنهایت، باید گفت با وجود ناقص‌بودن پچ امنیتی منتشرشده، هنوزهم نصب آن برای سیستم‌ها واجب است؛ زیرا در اکثر مواقع می‌توانند جلو مهاجمان را بگیرند. درنتیجه، کاربران موظف هستند برای امنیت دستگاه‌هایشان پچ‌های امنیتی منتشرشده را دانلود و نصب کنند.