مایکروسافت آسیب‌پذیری Print Spooler را برطرف کرد

 Print Spooler یا هماهنگ‌کننده چاپ – برنامه‌ای است که خروجی کامپیوتر را درون حافظه ذخیره می‌کند تا کاربر بتواند بدون انتظار برای چاپگر، خروجی تولید کند. سپس این برنامه خروجی ذخیره‌شده را با سرعت مناسب به چاپگر ارسال می‌کند. نام این برنامه در مایکروسافت ویندوز Print Manager ( مدیر چاپ ) است. در عملیاتی که چاپگر باید بطور همزمان به چند کاربر پاسخ دهد و یا اینکه کاربر چند عمل چاپ را به چاپگر گسیل می‌دارد، هماهنگ‌کننده چاپ به ترتیب ورود و یا با اولویت‌های خاصی، خروجی‌ها را به چاپگر هدایت می‌کند.

مایکروسافت می‌گوید وصله‌های امنیتی اضطراری که در اوایل هفته جاری منتشر شد، به درستی آسیب‌پذیری هماهنگ‌کننده چاپ را برای تمام نسخه‌های پشتیبانی شده ویندوز برطرف نمی‌کنند. بلافاصله پس از انتشار به‌روزرسانی‌ها  (KB5004945)، چندین محقق کارآیی آن را زیر سوال بردند و توضیح دادند که به‌روزرسانی‌ها به طور کامل آسیب‌پذیری را برطرف نمی‌کنند.

محققان نشان داده‌اند که می‌توان برای دستیابی به اجرای کد از راه دور و افزایش امتیازات محلی بر روی سیستم‌هایی که آن را نصب کرده‌اند، از وصله اضطراری عبور کرد.

اندکی پس از انتشار وصله، محقق مشهور متیو هایکی متوجه شد که این اصلاح ناقص است و عوامل تهدید‌کننده و بدافزار همچنان می‌توانند از این آسیب‌پذیری برای دستیابی به امتیازات سیستم استفاده کنند.

شکست به‌روز‌رسانی مایکروسافت همچنین توسط ویل دورمان، تحلیلگر آسیب‌پذیری برای CERT / CC گزارش شد.

محققان دیگر آزمایش وصله را شروع کردند و نشان دادند که برای دستیابی به RCE و افزایش امتیازات محلی (LPE) می‌توان به طور کامل از نقص عبور کرد.

بنیامین دلپی به دلیل توسعه ابزار محبوب Mimikatz شناخته شده است. او کشف کرده است که وقتی سیاست Point و Print  فعال باشد، مهاجمان می‌توانند برای دستیابی به اجرای  Remote Code، وصله را دور بزنند.

متخصصان IT توصیه می‌کند مشتریان بلافاصله مراحل زیر را دنبال کنند:

• در همه موارد، به روزرسانی امنیتی (CVE 2021 34527) را اعمال کنید. زیرا به‌روزرسانی، تنظیمات رجیستری موجود را تغییر نخواهد داد.
• پس از اعمال به‌روزرسانی امن، تنظیمات رجیستری نوشته شده در قسمت راهنمایی CVE 2021 34527 را مرور کنید.
• اگر کلیدهای رجیستری نوشته شده موجود نباشند، دیگر نیاز به اقدام دیگری نیست.
• اگر کلیدهای رجیستری موجود باشند ، برای ایمن‌سازی سیستم خود، باید مطمئن شوید که کلیدهای رجیستری زیر روی 0 (صفر) تنظیم شده‌اند یا موجود نیست:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsNT\Printers\PointAndPrint

• NoWarningNoElevationOnInstall = 0 (DWORD) صفر یا تعریف نشده باشند. (تنظیم پیش‌فرض)
• UpdatePromptSettings = 0 (DWORD) صفر یا تعریف نشده باشند. (تنظیم پیش‌فرض)

به کاربرانی که نمی‌توانند بلافاصله به‌روزرسانی‌های امنیتی را نصب کنند، توصیه می‌شود برای کاهش آسیب پذیری PrintNightmare به طور موقت، سرویس Windows Print Spooler  را غیرفعال کنند.

برای غیرفعال کردن این سرویس از دستور زیر اقدام نماید:

Control Panel\System and Security\Administrative Tools\services

و بعد از یافتن Print Spooler در لیست، گزینه Stop در بالای پوشه سمت چپ را انتخاب می کنیم.