با وجود وصله دوم، PrintNightmare دوباره بازگشته است

مایکروسافت نزدیک به یک ماه است که با آسیب‌پذیری مواجه است که در آن هکرها می‌توانند با نصب درایورهای چاپگر آسیب‌دیده، رایانه‌های شخصی را تسخیر کنند، اما به نظر می‌رسد این مشکل پیچیده‌تر و عمیق‌تر از آن چیزی است که حتی مایکروسافت پیش‌بینی می‌کرد.

دلتنگیپچ اخیر که پیش‌فرض‌ها را در ویندوز 10 تغییر داد و از نصب درایورهای چاپگر توسط کاربران استاندارد جلوگیری کرد، هکرها یک بای‌پس پیدا کردند که همچنان امکان افزایش امتیاز را برای کاربران استاندارد فراهم می‌کرد.

بنجامین دلپی نشان داده است که هکرها می توانند به سرعت با اتصال به یک سرور چاپ راه دور، با استفاده از دستورالعمل رجیستری CopyFile برای کپی کردن یک فایل DLL که یک خط فرمان را به همراه یک درایور چاپ هنگام اتصال به چاپگر به مشتری باز می کند، امتیازات SYSTEM را به دست آورند. .

مایکروسافت این مشکل را پذیرفته است مشاوره CVE-2021-36958، گفت:

یک آسیب‌پذیری اجرای کد از راه دور زمانی وجود دارد که سرویس Windows Print Spooler به طور نامناسب عملیات فایل ممتاز را انجام دهد. مهاجمی که با موفقیت از این آسیب‌پذیری سوء استفاده کرد، می‌تواند کد دلخواه را با امتیازات SYSTEM اجرا کند. سپس یک مهاجم می تواند برنامه ها را نصب کند. مشاهده، تغییر یا حذف داده ها؛ یا ایجاد حساب های جدید با حقوق کامل کاربر.

راه حل این آسیب پذیری توقف و غیرفعال کردن سرویس Print Spooler است.

در حالی که مایکروسافت آن را آسیب‌پذیری اجرای کد از راه دور می‌نامد، به نظر می‌رسد که این اکسپلویت یک اشکال افزایش امتیاز محلی است که حداقل باید اطمینان خاطری برای مدیران شبکه ایجاد کند.

مایکروسافت یک بار دیگر به مدیران توصیه می کند Print Spooler را غیرفعال کنند و در نتیجه چاپ از ویندوز را غیرفعال کنند. راه‌حل دیگری که توسط مایکروسافت توصیه نمی‌شود، محدود کردن چاپگرهایی است که می‌توانید با استفاده از خط‌مشی گروه «نقطه بسته و چاپ - سرورهای تأییدشده» به فهرست خاصی متصل شوید. نحوه انجام این کار را بخوانید در BleepingComputer اینجا.