Windows Yazdırma biriktirici hizmetindeki kritik kusurlar uzaktan saldırılara izin verebilir

Yöneticilerden, Microsoft'un en son yamalarını uygulamaları ve etki alanı denetleyicilerinde ve yazdırma için kullanılmayan sistemlerde Windows Yazdırma biriktirici hizmetini devre dışı bırakmaları önerilir.

güvenlik.jpg

iStock/weerapatkiatdumrong

Microsoft, Windows Yazdırma biriktirici hizmetinde, saldırganların etkilenen bir sistemi uzaktan kontrol etmesine izin verebilecek birkaç güvenlik açığıyla boğuşuyor. İkisinin daha yeni güvenlik açığından yararlanabilen herkes, güvenliği ihlal edilmiş bilgisayarda tam sistem ayrıcalıklarıyla kod çalıştırabilir. Microsoft'a göre bu saldırgan daha sonra yazılım yükleyebilir, verileri değiştirebilir ve yeni kullanıcı hesapları oluşturabilir.

Kusurlar, Windows 7, 8.1 ve 10 ile Server 2004, 2008, 2012, 2016 ve 2019 dahil olmak üzere istemciler ve sunucular için tüm Windows sürümlerini etkiler.

GÖRMEK: On yılın en önemli 10 siber saldırısı (ücretsiz PDF) (Teknoloji Cumhuriyeti)

Durum kafa karıştırıcı çünkü biri yamalanmış ve diğeri hala yamalanmayı bekleyen iki farklı kusur içeriyor. olarak bilinir CVE-2021-1675, ilk kusur Microsoft'un Haziran 2021 güvenlik güncellemeleriyle çözüldü. Haziran güncellemelerini henüz uygulamamış olan kullanıcıların ve yöneticilerin, bu güvenlik açığını gidermek için bunu yapmaları önerilir.

dublajlı CVE-2021-34527, ikinci kusur, Windows Yazdırma biriktirici hizmetindeki bir güvenlik açığına işaret etmesi bakımından birincisine benzer. Ancak PrintNightmare takma adı verilen bu, kullanıcıların yazdırma sunucusuna bir yazıcı sürücüsü yüklemesine veya güncellemesine izin veren bir işlev olan RpcAddPrinterDriverEx()'te bir sorun içeriyor. CVE-2021-34527, bir saldırganın güvenliği ihlal edilmiş bir bilgisayarda kod çalıştırarak programları yüklemesine, verileri değiştirmesine ve yeni hesaplar oluşturmasına olanak tanıyan bir kusurdur.

Bu ikinci güvenlik açığıyla, yazdırma biriktirici hizmeti etkinleştirilirse etki alanı denetleyicileri etkilenir. Ancak, etki alanı denetleyicisi olmayan Windows istemci ve sunucu bilgisayarları, aşağıdaki durumlarda da etkilenebilir: İşaretle ve Yazdır etkinleştirilir veya Authenticated Users grubu, azaltma bölümünde başka bir grup içinde yuvalanır.

CVE-2021-34527 için henüz bir yama bulunmadığından, hem Microsoft hem de Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), yöneticileri, etki alanı denetleyicilerinde ve yazdırma için kullanılmayan sistemlerde Windows Yazdırma biriktirici hizmetini devre dışı bırakmaya teşvik ediyor. bir güvenlik açığı notu CERT Koordinasyon Merkezi'nden, Yazdırma biriktirici hizmetini devre dışı bırakmak için iki seçenek açıklanır; bunlardan biri tek bir bilgisayar için, diğeri Grup İlkesi aracılığıyla etki alanınız için.

Seçenek 1 – Yazdırma Biriktiricisi hizmetini durdurun ve devre dışı bırakın

  1. Bir PowerShell istemi açın
  2. Şu komutu çalıştırın: Stop-Service -Name Spooler -Force
  3. Ardından şu komutu çalıştırın: Set-Service -Name Spooler -StartupType Disabled

Seçenek 2 – Grup İlkesi aracılığıyla gelen uzaktan yazdırmayı devre dışı bırakın

  1. Grup İlkesini Aç
  2. Bilgisayar Yapılandırması/Yönetim Şablonları/Yazıcılar'a gidin
  3. "Yazdırma Biriktiricisinin istemci bağlantılarını kabul etmesine izin ver" ayarını devre dışı bırakın

Bu durumda, etkilenen bilgisayarlar, yerel olarak bağlı bir yazıcıdan yazdırabilmenize rağmen, artık yazdırma sunucusu olarak çalışamaz.

Olay müdahale firması BreachQuest'in kurucu ortağı ve CTO'su Jake Williams, "Bu güvenlik açıkları, özellikle CVE-2021-34527, son derece ciddi" dedi. "BreachQuest laboratuvarındaki testlerde, varsayılan günlük kaydında açıktan yararlanmanın kesin izleri olmadan, normal bir kullanıcı bağlamından tam etki alanı yöneticisi izinlerine hızlı bir şekilde geçebildik."

New Net Technologies'in güvenlik araştırmalarından sorumlu küresel başkan yardımcısı Dirk Schrader'e göre, Microsoft Windows'un 40 farklı sürümünde her iki güvenlik açığı da mevcut olduğundan, şirketler ve düzenli tüketiciler risk altında olacak. Saldırganların veri çıkarma ve şifreleme için büyük kuruluşlara sızabileceğini ve botnet'leri genişletmek veya kripto madenciliği ağlarını başlatmak için bireysel kullanıcılara bulaşabileceğini söyleyen Schrader, vahşi doğada ilk istismarları görmenin sadece bir zaman meselesi olduğunu da sözlerine ekledi.

Elbette asıl soru, Microsoft'un CVE-2021-34527 güvenlik açığı için ne zaman bir yama yayınlayacağı. TechRepublic bu soruyu şirketin PR ajansına gönderdi ve yanıt bekliyor. Şimdilik elimizdeki tek şey Microsoft'un SSS bölümündeki yorumu:

"Bu güvenlik açığından korunmak için bir güncelleme üzerinde çalışıyoruz. Kalite ve uyumluluğu sağlamak için tüm güncellemeleri test ediyoruz. Geniş dağıtım için gereken kalite standartlarını karşılar karşılamaz düzeltmeyi yayınlayacağız."

Microsoft'un bir sonraki Salı Yaması 13 Temmuz Salı günü gerçekleşecek. Şirket bu hatayı düzeltmek için o zamana kadar bekleyecek mi yoksa daha erken harekete geçecek mi? Düzeltmenin birçok eski bileşeni içerdiğine ve bu nedenle test etmeyi zorlaştırdığına işaret eden Williams, bant dışı bir yama görmeyi beklemediğini, yani önümüzdeki hafta Salı Yaması'ndan önce herhangi bir düzeltme olmayacağını söyledi.

Ayrıca bkz.

Source link

İlk yorum yapan olun

Bir yanıt bırakın

E-posta hesabınız yayımlanmayacak.


*