راهکارهای موقت مایکروسافت برای آسیب‌پذیری روز-صفر PrintNightmare

شرکت مایکروسافت (Microsoft Corp) با انتشار توصیه‌نامه، راهکارهای موقتی را برای مقاوم‌سازی موقت یک آسیب‌پذیری روز-صفر ارائه کرده است. نکته قابل توجه این که مایکروسافت مورد سوءاستفاده قرار گرفتن این آسیب‌پذیری توسط مهاجمان را تایید کرده است.

آسیب‌پذیری مذکور با شناسه CVE-2021-34527 که به PrintNightmare معروف شده، تمامی نسخ Windows را متأثر می‌کند.

در ادامه این مطلب که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه شده جزییات CVE-2021-34527 ارائه شده است.

این آسیب‌پذیری از وجود ضعفی در بخش Print Spooler سیستم عامل Windows ناشی می‌شود و بهره‌جویی از آن، مهاجم را قادر به اجرای کد به صورت از راه دور با سطح دسترسی SYSTEM می‌کند.

CVE-2021-34527 از جهاتی مشابه با CVE-2021-1675 است که 18 خرداد به همراه مجموعه‌اصلاحیه‌های ماه ژوئن مایکروسافت ترمیم شده بود. به دلیل این شباهت و تصور ترمیم شدن آن توسط مجموعه اصلاحیه‌های مذکور، اشتباها جزییات و نمونه Proof-of-Concept – به اختصار PoC – آسیب‌پذیری CVE-2021-34527 توسط محققان منتشر شد.

در توصیه نامه مایکروسافت شباهت CVE-2021-34527 با CVE-2021-1675 تایید شده اما این شرکت آنها را مستقل از یکدیگر دانسته و برخی ادعاها در خصوص آن که CVE-2021-34527 ضعفی است که به دنبال اعمال مجموعه‌اصلاحیه‌های ماه ژوئن ناشی شده را کاملا رد کرده است.

مایکروسافت هنوز اصلاحیه‌ای برای ترمیم کامل CVE-2021-34527 ارائه نکرده است. در عین حال راهکارهایی برای مقاوم‌سازی موقت این آسیب‌پذیری ارائه کرده است.

راهکار نخست غیرفعال کردن سرویس Print Spooler از طریق اجرای فرامین زیر درPowerShell  است که در عمل موجب حذف قابلیت چاپ به‌صورت محلی (Locally) و از راه دور (Remotely) می‌شود.

Stop-Service -Name Spooler -Force

Set-Service -Name Spooler -StartupType Disabled

امکان غیرفعال کردن سرویس Print Spooler از طریق Group Policy نیز فراهم است.

راهکار دیگر، محدود کردن درخواست‌های چاپی است که در بستر شبکه به دستگاه ارسال می‌شوند. در این حالت، اگر چه دستگاه نقش Print Server خود را از دست می‌دهد اما امکان چاپ از طریق چاپگرهای متصل به آن به‌صورت محلی میسر خواهد بود. برای این منظور باید در مسیر زیر در Group Policy گزینه Allow Print Spooler to accept client connections در حالت Disable قرار بگیرد.

Computer Configuration / Administrative Templates / Printers

به کلیه راهبران توصیه می شود تا زمان انتشار اصلاحیه از سوی مایکروسافت نسبت به اعمال حداقل یکی از راهکارهای ارائه شده بر روی دستگاه‌ها به ویژه بر روی سرورهای با عملکرد حیاتی اقدام کنند.

لازم به ذکر است مشترکین محصولات مک آفی نیز می توانند با استفاده از یک قاعده اختصاصی Expert Rule که در لینک زیر به آن پرداخته شده دستگاه را از گزند تهدیدات مبتنی بر این آسیب پذیری محافظت کنند:

https://kc.mcafee.com/corporate/index?page=content&id=KB94659

توصیه‌نامه مایکروسافت در لینک زیر قابل مطالعه است:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527