• تعداد بازدید : 1857
چگونگی برطرف سازی آسیب‌پذیری Print Spooler مایكروسافت - PrintNightmare


چگونگی برطرف سازی آسیب‌پذیری Print Spooler مایکروسافت- PrintNightmare
در این هفته، PrintNightmare، آسیب‌پذیری Print Spooler مایکروسافت (CVE-2021-34527)، به وضعیت بحرانی رسید.
این به دلیل اثبات مفهوم منتشر شده در GitHub است ، که مهاجمان میتوانستند به طور بالقوه از اهرم دسترسی به Domain Controllers استفاده کنند.
همانطور که قبلاً گزارش داده بودیم، مایکروسافت قبلاً در ژوئن 2021 پچی را منتشر کرده بود ، اما برای جلوگیری از سواستفاده کافی نبود. مهاجمان همچنان می توانند از Print Spooler هنگام اتصال از راه دور استفاده کنند. تمام اطلاعات لازم در مورد این آسیب پذیری را می توانید در این مقاله و چگونگی برطرف سازی آن را پیدا کنید.
مختصری درباره ی Print Spooler: سرویس مایکروسافت برای مدیریت و نظارت بر چاپ فایل ها است. این سرویس از قدیمی ترین های مایکروسافت است و از زمان انتشارش تاکنون حداقل میزان به روزرسانی را در زمینه نگهداری داشته است. 
هر دستگاه مایکروسافت (سرورها و نقاط انتهایی) این ویژگی را به طور پیش فرض به صورت فعال دارند.
آسیب پذیری PrintNightmare: به محض اینکه مهاجم دسترسی کاربری محدود به شبکه را پیدا کند ، می تواند (مستقیم یا از راه دور) به Print Spooler متصل شود. از آنجایی که Print Spooler به هسته دسترسی مستقیم دارد ، مهاجم می تواند با استفاده از آن به سیستم عامل دسترسی پیدا کند، کد راه دور را با امتیازات سیستم اجرا کند و در نهایت به Domain Controller حمله کند.
بهترین گزینه شما در هنگام کاهش آسیب پذیری PrintNightmare غیرفعال کردن Print Spooler در هر سرور و / یا ایستگاه کاری حساس (مانند ایستگاه های کاری مدیران ، ایستگاه های کاری مستقیم متصل به اینترنت و ایستگاه های کاری غیر چاپی) است.
این همان چیزی است که Dvir Goren ، متخصص ایمن سازی و CTO در CalCom Software Solutions ، به عنوان اولین گام شما به سمت برطرف ساختن آسیب پذیری پیشنهاد می کند.
برای غیرفعال کردن سرویس Print Spooler در ویندوز 10 این مراحل را دنبال کنید:
- استارت را باز کنید
- PowerShell را جستجو کنید و روی آن کلیک راست کرده و گزینه ی Run as administrator را انتخاب کنید.
- این فرمان را تایپ کنید و Enter را فشار دهید: Stop-Service -Name Spooler –Force
- از این فرمان استفاده کنید تا مانع این شوید که سرویس در هنگام راه اندازی مجدد دوباره پشتیبان گیری کند:
Set-Service -Name Spooler -StartupType Disabled
طبق تجربهDvir ، 90٪ از سرورها نیازی به Print Spooler ندارند. این تنظیمات پیش فرض اکثر آنها است ، بنابراین معمولاً فعال است. در نتیجه ، غیرفعال کردن آن می تواند 90٪ مشکل شما را برطرف کند و تأثیر کمی بر تولید داشته باشد.
در زیرساخت های بزرگ و پیچیده ، تعیین اینکه چه جایی از  Print Spooler استفاده می شود می تواند چالش برانگیز باشد.
در اینجا چند نمونه وجود دارد که در آن Print Spooler مورد نیاز است:
هنگام استفاده از خدمات Citrix ، سرورهای فکس هر برنامه ای که به چاپ مجازی یا فیزیکی PDF ، XPS و غیره نیاز دارد. به عنوان مثال ، خدمات صورتحساب و برنامه های دستمزد.
در اینجا چند نمونه وجود دارد که Print Spooler نیازی نیست اما به طور پیش فرض فعال است:

Domain Controller و Active Directory - با رعایت اصول بهداشت سایبری می توان خطر اصلی این آسیب پذیری را خنثی کرد. منطقی نیست که Print Spooler در سرورهای DC و AD فعال باشد.
سرورهای اعضا مانند SQL ، File System و سرورهای Exchange. 
دستگاههایی که نیازی به چاپ ندارند.
چند مرحله ایمن سازی دیگر که توسط Dvir برای دستگاههای وابسته به Print Spooler پیشنهاد شده است ، شامل موارد زیر است:
پروتکل آسیب پذیر Print Spooler را با یک سرویس غیر مایکروسافت جایگزین کنید.
با تغییر "اجازه پذیرش ارتباطات مشتری" ، می توانید دسترسی کاربران به Print Spooler را محدود کنید به گروه هایی که باید از آن استفاده کنند.
تماس گیرنده Print Spooler را در گروه سازگاری قبل از Windows 2000 غیرفعال کنید.
 

امتیاز :  ۵.۰۰ |  مجموع :  ۱

برچسب ها

    6.1.7.0
    V6.1.7.0