תיקון חירום שמיקרוסופט הוציאה ביום שלישי לא מצליח לתקן באופן מלא פגיעות אבטחה קריטית בכל הנתמכים גרסאות של Windows המאפשרות לתוקפים להשתלט על מערכות נגועות ולהריץ קוד לפי בחירתם, חוקרים אמר.
האיום, הידוע בכינויו PrintNightmare, נובע מבאגים ב-Windows Print Spooler, המספק פונקציונליות הדפסה בתוך רשתות מקומיות. קוד ניצול הוכחת מושג שוחרר לציבור ולאחר מכן נסוג, אך לא לפני שאחרים העתיקו אותו. חוקרים עוקבים אחר הפגיעות כ-CVE-2021-34527.
עניין גדול
תוקפים יכולים לנצל אותו מרחוק כאשר יכולות ההדפסה חשופות לאינטרנט. תוקפים יכולים להשתמש בו גם כדי להסלים את הרשאות המערכת לאחר שהשתמשו בפגיעות אחרת כדי להשיג אחיזת רגל בתוך רשת פגיעה. בכל מקרה, היריבים יכולים לקבל שליטה על בקר התחום, שכשרת המאמת משתמשים מקומיים, הוא אחד הנכסים הרגישים ביותר לאבטחה בכל רשת Windows.
"זו העסקה הגדולה ביותר שעסקתי בה מזה זמן רב מאוד", אמר וויל דורמן, מנתח פגיעות בכיר ב-CERT Coordination Center, פרויקט ללא מטרות רווח במימון פדרלי של ארצות הברית, שחוקר באגי תוכנה ועובד עם עסקים וממשל כדי לשפר בִּטָחוֹן. "בכל פעם שיש קוד ניצול ציבורי עבור פגיעות לא מתוקנת שיכולה לסכן בקר תחום של Windows, אלו חדשות רעות."
לאחר שהתגלתה חומרת הבאג, Microsoft פרסם מחוץ ללהקה לתקן ביום שלישי. מיקרוסופט אמרה כי העדכון "מטפל באופן מלא בפגיעות הציבורית". אבל ביום רביעי - קצת יותר מ-12 שעות לאחר השחרור - חוקר הראה כיצד מעללים יכולים לעקוף את התיקון.
"ההתמודדות עם מחרוזות ושמות קבצים היא קשה", בנג'מין דלפי, מפתח כלי הפריצה והרשת Mimikatz ותוכנות אחרות, כתב בטוויטר.
קשה להתמודד עם מחרוזות ושמות קבצים😉
פונקציה חדשה ב #מימיקץ 🥝לנרמל שמות קבצים (עקיפת בדיקות באמצעות UNC במקום בפורמט \\server\share)אז RCE (ו-LPE) עם #printnightmare בשרת עם תיקון מלא, עם הפעלת Point & Print
> https://t.co/Wzb5GAfWfdpic.twitter.com/HTDf004N7r
— 🥝🏳️🌈 בנג'מין דלפי (@gentilkiwi) 7 ביולי 2021
לציוץ של דלפי ליווה א וִידֵאוֹ שהראה ניצול שנכתב בחופזה הפועל נגד Windows Server 2019 שהתקין את התיקון מחוץ לפס. ההדגמה מראה שהעדכון לא מצליח לתקן מערכות פגיעות המשתמשות בהגדרות מסוימות עבור תכונה שנקראת הצבע והדפיס, מה שמקל על משתמשי הרשת להשיג את מנהלי ההתקן של המדפסת הדרושים להם.
קבורה בסמוך לתחתית הייעוץ של מיקרוסופט מיום שלישי: "נקודה והדפסה אינה קשורה ישירות ל את הפגיעות הזו, אבל הטכנולוגיה מחלישה את עמדת האבטחה המקומית בצורה כזו שהניצול יהיה אפשרי."
טרגדיה של התעללות
התיקון הלא שלם הוא התקלה האחרונה הכוללת את הפגיעות של PrintNightmare. בחודש שעבר, אצווה התיקון החודשית של מיקרוסופט תוקנה CVE-2021-1675, באג הדפסה ברקע שאפשר להאקרים עם זכויות מערכת מוגבלות במחשב להסלים את ההרשאות למנהל. מיקרוסופט זיכה את Zhipeng Huo מ-Tencent Security, Piotr Madej מ-Afine, ו-Yunhai Zhang מ-Nsfocus בגילוי ודיווח על הפגם.
כמה שבועות לאחר מכן, שני חוקרים שונים - Zhiniang Peng ו-Xuefeng Li מסאנגפור - פרסמו ניתוח של CVE-2021-1675 שהראה שניתן לנצל אותו לא רק להסלמה של הרשאות אלא גם להשגת קוד מרחוק ביצוע. החוקרים קראו לניצול שלהם PrintNightmare.
בסופו של דבר, חוקרים קבעו ש-PrintNightmare ניצלה פגיעות דומה (אך שונה בסופו של דבר) מ-CVE-2021-1675. Zhiniang Peng ו-Xuefeng Li הסירו את ניצול הוכחת המושג שלהם כאשר נודע להם על הבלבול, אך עד אז, הניצול שלהם כבר היה בתפוצה רחבה. כרגע יש לפחות שלושה ניצול PoC הזמינים לציבור, חלקם עם יכולות החורגות הרבה מעבר למה שהניצול הראשוני איפשר.
התיקון של מיקרוסופט מגן על שרתי Windows המוגדרים כבקרי תחום או התקני Windows 10 המשתמשים בהגדרות ברירת המחדל. ההדגמה של יום רביעי מ-Delpy מראה ש-PrintNightmare פועלת מול מגוון רחב הרבה יותר של מערכות, כולל אלה שאפשרו Point and Print ובחרו ב-NoWarningNoElevationOnInstall אוֹפְּצִיָה. החוקר יישם את הניצול במימיקץ.
"יידרשו אישורים"
מלבד הניסיון לסגור את פגיעות ביצוע הקוד, התיקון של יום שלישי עבור CVE-2021-34527 מתקין גם מנגנון המאפשר למנהלי מערכת של Windows ליישם הגבלות חזקות יותר כאשר משתמשים מנסים להתקין מדפסת תוֹכנָה.
"לפני התקנת עדכוני Windows 6 ביולי 2021 וחדשים יותר המכילים הגנות עבור CVE-2021-34527, קבוצת האבטחה של מפעילי המדפסות יכולה להתקין מנהלי מדפסות חתומים וגם לא חתומים בשרת מדפסת", א ייעוץ של מיקרוסופט נָקוּב. "לאחר התקנת עדכונים כאלה, קבוצות ניהול מואצלות כמו מפעילי מדפסות יכולות להתקין רק מנהלי מדפסת חתומים. אישורי מנהל יידרשו כדי להתקין מנהלי מדפסת לא חתומים בשרת מדפסת בהמשך."
למרות שהתיקון מחוץ לפס של יום שלישי אינו שלם, הוא עדיין מספק הגנה משמעותית מפני סוגים רבים של התקפות המנצלות את פגיעות ההדפסה ברקע. עד כה, לא ידועים מקרים של חוקרים שאמרו שזה מסכן מערכות. אלא אם כן זה ישתנה, משתמשי Windows צריכים להתקין את התיקון מיוני ומיום שלישי ולהמתין להנחיות נוספות ממיקרוסופט. לנציגי החברה לא הייתה תגובה מיד לפוסט הזה.
