با وجود وصله دوم، PrintNightmare دوباره بازگشته است
2 دقیقه خواندن
به روز شده در
صفحه افشای ما را بخوانید تا بدانید چگونه می توانید به MSPoweruser کمک کنید تا تیم تحریریه را حفظ کند ادامه مطلب
مایکروسافت نزدیک به یک ماه است که با آسیبپذیری مواجه است که در آن هکرها میتوانند با نصب درایورهای چاپگر آسیبدیده، رایانههای شخصی را تسخیر کنند، اما به نظر میرسد این مشکل پیچیدهتر و عمیقتر از آن چیزی است که حتی مایکروسافت پیشبینی میکرد.
دلتنگیپچ اخیر که پیشفرضها را در ویندوز 10 تغییر داد و از نصب درایورهای چاپگر توسط کاربران استاندارد جلوگیری کرد، هکرها یک بایپس پیدا کردند که همچنان امکان افزایش امتیاز را برای کاربران استاندارد فراهم میکرد.
بنجامین دلپی نشان داده است که هکرها می توانند به سرعت با اتصال به یک سرور چاپ راه دور، با استفاده از دستورالعمل رجیستری CopyFile برای کپی کردن یک فایل DLL که یک خط فرمان را به همراه یک درایور چاپ هنگام اتصال به چاپگر به مشتری باز می کند، امتیازات SYSTEM را به دست آورند. .
مایکروسافت این مشکل را پذیرفته است مشاوره CVE-2021-36958، گفت:
یک آسیبپذیری اجرای کد از راه دور زمانی وجود دارد که سرویس Windows Print Spooler به طور نامناسب عملیات فایل ممتاز را انجام دهد. مهاجمی که با موفقیت از این آسیبپذیری سوء استفاده کرد، میتواند کد دلخواه را با امتیازات SYSTEM اجرا کند. سپس یک مهاجم می تواند برنامه ها را نصب کند. مشاهده، تغییر یا حذف داده ها؛ یا ایجاد حساب های جدید با حقوق کامل کاربر.
راه حل این آسیب پذیری توقف و غیرفعال کردن سرویس Print Spooler است.
در حالی که مایکروسافت آن را آسیبپذیری اجرای کد از راه دور مینامد، به نظر میرسد که این اکسپلویت یک اشکال افزایش امتیاز محلی است که حداقل باید اطمینان خاطری برای مدیران شبکه ایجاد کند.
مایکروسافت یک بار دیگر به مدیران توصیه می کند Print Spooler را غیرفعال کنند و در نتیجه چاپ از ویندوز را غیرفعال کنند. راهحل دیگری که توسط مایکروسافت توصیه نمیشود، محدود کردن چاپگرهایی است که میتوانید با استفاده از خطمشی گروه «نقطه بسته و چاپ - سرورهای تأییدشده» به فهرست خاصی متصل شوید. نحوه انجام این کار را بخوانید در BleepingComputer اینجا.