Microsoft'un acil durum yaması kritik "PrintNightmare" güvenlik açığını gideremiyor

İkili kodda kafatası ve kemikler
Büyüt
Getty Images

Microsoft'un Salı günü yayınladığı acil durum yaması, desteklenen tüm sistemlerde kritik bir güvenlik açığını tam olarak gideremedi Araştırmacılar, saldırganların virüslü sistemlerin kontrolünü ele geçirmesine ve istedikleri kodu çalıştırmasına olanak tanıyan Windows sürümlerinin söz konusu.

Halk dilinde PrintNightmare olarak bilinen tehdit, yerel ağlarda yazdırma işlevi sağlayan Windows yazdırma biriktiricisindeki hatalardan kaynaklanıyor. Kavram kanıtı yararlanma kodu kamuya açıklandı ve daha sonra geri çekildi, ancak bu, başkaları tarafından kopyalanmadan önce olmadı. Araştırmacılar güvenlik açığını CVE-2021-34527 olarak takip ediyor.

Büyük anlaşma

Saldırganlar, yazdırma yetenekleri internete açık hale geldiğinde bu özellikten uzaktan yararlanabilirler. Saldırganlar, farklı bir güvenlik açığını kullanarak güvenlik açığı bulunan bir ağın içinde yer almak için sistem ayrıcalıklarını artırmak için de bunu kullanabilir. Her iki durumda da saldırganlar, yerel kullanıcıların kimliğini doğrulayan sunucu olarak herhangi bir Windows ağındaki güvenlik açısından en hassas varlıklardan biri olan etki alanı denetleyicisinin kontrolünü ele geçirebilir.

CERT Koordinasyon'da kıdemli güvenlik açığı analisti Will Dormann, "Bu, uzun zamandır uğraştığım en büyük anlaşma" dedi. Center, kar amacı gütmeyen, Amerika Birleşik Devletleri tarafından federal olarak finanse edilen, yazılım hatalarını araştıran ve geliştirmek için iş dünyası ve hükümetle birlikte çalışan bir proje güvenlik. "Windows etki alanı denetleyicisini tehlikeye atabilecek yamalı bir güvenlik açığı için genel yararlanma kodu olduğunda bu kötü bir haberdir."

Hatanın ciddiyeti ortaya çıktıktan sonra Microsoft bant dışı bir yayın yayınladı Salı günü düzeltin. Microsoft, güncellemenin "genel güvenlik açığını tamamen giderdiğini" söyledi. Ancak Çarşamba günü (yayınlandıktan 12 saatten biraz daha uzun bir süre sonra) bir araştırmacı, açıklardan yararlanmaların yamayı nasıl atlayabileceğini gösterdi.

Bilgisayar korsanlığı ve ağ aracı Mimikatz ve diğer yazılımların geliştiricisi Benjamin Delpy, "Dizeler ve dosya adlarıyla uğraşmak zor" diyor. Twitter'da yazdı.

Dizeler ve dosya adlarıyla uğraşmak zordur😉
Yeni işlev #mimikatz 🥝dosya adlarını normalleştirmek için (\\sunucu\paylaşım formatı yerine UNC kullanarak kontrolleri atlamak)

Yani bir RCE (ve LPE) #baskıkabusu İşaretle ve Yazdır özelliği etkinleştirilmiş, tamamen yamalı bir sunucuda

> https://t.co/Wzb5GAfWfdpic.twitter.com/HTDf004N7r

— 🥝🏳️‍🌈 Benjamin Delpy (@gentilkiwi) 7 Temmuz 2021

Delpy'nin tweet'ine eşlik eden bir mesaj vardı: video Bu, bant dışı yamayı yükleyen bir Windows Server 2019'a karşı çalışan aceleyle yazılmış bir istismarı gösteriyordu. Demo, güncellemenin, adı verilen bir özellik için belirli ayarları kullanan savunmasız sistemleri düzeltmede başarısız olduğunu gösteriyor. işaretle ve yazdırBu, ağ kullanıcılarının ihtiyaç duydukları yazıcı sürücülerini edinmelerini kolaylaştırır.

Microsoft'un Salı günkü tavsiye notunun alt kısmına yakın bir yerde gömülü olan şey şu: "İşaretle ve Yazdır, doğrudan Bu güvenlik açığı, ancak teknoloji, yerel güvenlik duruşunu, sömürülecek şekilde zayıflatır. olası."

Bir gaf trajedisi

Eksik yama, PrintNightmare güvenlik açığını içeren en son gaftır. Geçen ay, Microsoft'un aylık yama grubu düzeltildi CVE-2021-1675, bir makinede sınırlı sistem haklarına sahip bilgisayar korsanlarının ayrıcalığını yöneticiye yükseltmesine olanak tanıyan bir yazdırma biriktiricisi hatası. Microsoft, kusuru keşfetme ve bildirme konusunda Tencent Security'den Zhipeng Huo'ya, Afine'den Piotr Madej'e ve Nsfocus'tan Yunhai Zhang'a itibar etti.

Birkaç hafta sonra iki farklı araştırmacı (Sangfor'dan Zhiniang Peng ve Xuefeng Li) bir analiz yayınladı. CVE-2021-1675, yalnızca ayrıcalık yükseltme için değil aynı zamanda uzaktan kod elde etmek için de kullanılabileceğini gösterdi uygulamak. Araştırmacılar bu istismara PrintNightmare adını verdi.

Sonunda araştırmacılar, PrintNightmare'in CVE-2021-1675'e benzer (ancak sonuçta ondan farklı) bir güvenlik açığından yararlandığını belirledi. Zhiniang Peng ve Xuefeng Li, karışıklığı öğrendiklerinde kavram kanıtı istismarlarını kaldırdılar, ancak o zamana kadar istismarları zaten geniş çapta dolaşıyordu. Şu anda halka açık en az üç PoC istismarı mevcut ve bunlardan bazıları ilk istismarın izin verdiğinin çok ötesine geçen yeteneklere sahip.

Microsoft'un düzeltmesi, etki alanı denetleyicileri olarak ayarlanmış Windows sunucularını veya varsayılan ayarları kullanan Windows 10 aygıtlarını korur. Delpy'nin Çarşamba günkü demosu, PrintNightmare'in çok daha geniş bir sistem yelpazesinde çalıştığını gösteriyor. İşaretle ve Yazdır özelliğini etkinleştirmiş ve NoWarningNoElevationOnInstall'ı seçmiş olanlar dahil seçenek. Araştırmacı bu istismarı Mimikatz'da uyguladı.

“Kimlik belgesi istenecek”

Salı günkü CVE-2021-34527 düzeltmesi, kod yürütme güvenlik açığını kapatmaya çalışmanın yanı sıra yeni bir güvenlik açığı da yüklüyor Kullanıcılar yazıcıyı yüklemeye çalıştığında Windows yöneticilerinin daha güçlü kısıtlamalar uygulamasına olanak tanıyan mekanizma yazılım.

"CVE-2021-34527 korumalarını içeren 6 Temmuz 2021 ve daha yeni Windows Güncellemelerini yüklemeden önce, yazıcı operatörlerinin güvenlik grubu, bir yazıcı sunucusuna hem imzalı hem de imzasız yazıcı sürücülerini yükleyebilir" Microsoft tavsiyesi belirtilmiş. "Bu tür güncellemeleri yükledikten sonra, yazıcı operatörleri gibi yetkilendirilmiş yönetici grupları yalnızca imzalı yazıcı sürücülerini yükleyebilir. Bundan sonra imzasız yazıcı sürücülerini bir yazıcı sunucusuna yüklemek için yönetici kimlik bilgileri gerekecektir."

Salı günkü bant dışı yama henüz tamamlanmamış olmasına rağmen, yazdırma biriktiricisinin güvenlik açığından yararlanan birçok saldırı türüne karşı hala anlamlı koruma sağlıyor. Şu ana kadar araştırmacıların sistemleri riske attığını söyleyen bilinen bir vaka yok. Bu durum değişmediği sürece, Windows kullanıcılarının yamayı Haziran ve Salı aylarında yüklemeleri ve Microsoft'tan gelecek talimatları beklemeleri gerekmektedir. Şirket temsilcilerinin bu yazıya hemen bir yorumu olmadı.

Son Blog Yazısı

Donanım bilginizi artıracak bu Kendin Yap kitlerinden tasarruf edin
August 31, 2023

Ellerinizi donanımla kirletme zamanı. Bu sayfada bulunan ürünlerden gelir elde edebilir ve ortaklık programlarına katılabiliriz. Daha fazla bilgi ...

Keskin bir çene hattı elde etmenize yardımcı olmak için tasarlanmış bu egzersiz aletinde 90 dolardan fazla tasarruf edin
August 31, 2023

Daha keskin bir çeneye ulaşmak için egzersiz yapın. Bu sayfada bulunan ürünlerden gelir elde edebilir ve ortaklık programlarına katılabiliriz. Dah...

Bu kendi kendine ısınan kupa sistemi, kablosuz telefon şarj cihazı işlevi de görüyor
August 31, 2023

Bayat kahveye veda edin. Bu sayfada bulunan ürünlerden gelir elde edebilir ve ortaklık programlarına katılabiliriz. Daha fazla bilgi edin >Başk...