[ad_1]

جمجمه و استخوان های عرضی در کد باینری

محققان گفتند ، انتشار عیب یابی مایکروسافت در روز سه شنبه نتوانست به طور کامل یک آسیب پذیری امنیتی مهم را در تمام نسخه های پشتیبانی شده ویندوز که به مهاجمان اجازه می دهد سیستم های آلوده را کنترل کرده و کدهای دلخواه خود را اجرا کنند ، برطرف کند.

تهدید ، که در چاپ با عنوان PrintNightmare شناخته می شود ، ناشی از خطاهای موجود در چاپ چاپ Windows است که عملکرد چاپ را در شبکه های محلی فراهم می کند. کد بهره برداری همراه با اثبات مفهوم به صورت عمومی منتشر شد و سپس بارگیری شد ، اما قبل از اینکه دیگران آن را کپی کنند ، نه. محققان این آسیب پذیری را به صورت CVE-2021-34527 ردیابی کردند.

معامله خوب

مهاجمی که می توانند از قابلیت چاپ استفاده کنند در معرض اینترنت قرار دارند. مهاجمان همچنین می توانند پس از استفاده از یک آسیب پذیری متفاوت برای به دست آوردن حفظ انگشت در یک شبکه آسیب پذیر ، از آن برای افزایش امتیازات سیستم استفاده کنند. در هر دو حالت ، مخالفان می توانند کنترل دامنه کنترل کننده را بدست آورند ، که به عنوان سروری که اعتبار کاربران محلی را تأیید می کند ، یکی از حساس ترین دارایی ها در هر شبکه ویندوز است.

ویل دورمن ، تحلیلگر ارشد آسیب پذیری در CERT ، یک پروژه غیرانتفاعی غیرانتفاعی با بودجه ایالات متحده که اشکالات نرم افزاری را بررسی می کند و با مشاغل و دولت برای بهبود امنیت همکاری می کند ، گفت: “این بزرگترین معامله ای است که من در مدت زمان طولانی انجام داده ام.” . “هر بار که یک کد سو public استفاده عمومی برای آسیب پذیری معیوب وجود دارد که می تواند یک کنترل کننده دامنه ویندوز را به خطر بیندازد ، این خبر بدی است.”

پس از روشن شدن شدت خطا ، مایکروسافت روز سه شنبه تصحیح خارج از محدوده را منتشر کرد. مایکروسافت گفت این به روزرسانی “به طور کامل آسیب پذیری های عمومی را برطرف می کند.” اما در روز چهارشنبه – کمی بیشتر از 12 ساعت پس از انتشار – یک محقق نشان داد که چگونه feats می توانند وصله را دور بزنند.

“برخورد با رشته ها و نام پرونده ها دشوار است” ، بنجامین دلپی ، توسعه دهنده برنامه هک و شبکه Mimikatz و سایر نرم افزارها ، در توییتر نوشت.

توییت دلپی همراه ویدیویی بود که سو استفاده ای عجولانه در برابر ویندوز سرور ۲۰۱۹ را اجرا می کند و این رفع اشکال خارج از محدوده را نشان می دهد. نمایش نشان می دهد که به روزرسانی نتواند سیستم های آسیب پذیر را که از تنظیمات خاصی برای ویژگی به نام point and print استفاده می کنند ، برطرف کند ، این امر باعث می شود کاربران شبکه به راحتی بتوانند درایورهای لازم را برای چاپگر تهیه کنند.

فاجعه اشتباهات

رفع ناقص جدیدترین اشتباه مربوط به آسیب پذیری PrintNightmare است. ماه گذشته ، بسته های ماهانه مایکروسافت برای رفع مشکلات CVE-2021-1675 ، ردیابی در spooler چاپی که به هکرهای دارای مجوز سیستم محدود ماشین اجازه می دهد امتیاز مدیر را افزایش دهند ، اصلاح شد. مایکروسافت به Zhipeng Huo از Tencent Security ، Piotr Madej از Afine و Yunhai Zhang از Nsfocus اعتبار می دهد تا اشکال را شناسایی و گزارش کند.

چند هفته بعد ، دو محقق مختلف – Zhiniang Peng و Xuefeng Li از Sangfor – تجزیه و تحلیل CVE-2021-1675 را منتشر كردند ، كه نشان داد از این روش نه تنها برای افزایش امتیازات ، بلكه برای دستیابی به اجرای كد از راه دور نیز می توان استفاده كرد. محققان بهره خود را PrintNightmare نامیدند.

سرانجام ، محققان دریافتند که PrintNightmare از یک آسیب پذیری مشابه (اما در نهایت متفاوت از) CVE-2021-1675 استفاده کرد. Zhiniang Peng و Xuefeng Li وقتی از سردرگمی باخبر شدند اثبات تصور خود را حذف کردند ، اما در این زمان شاهکارهای آنها گسترده بود. در حال حاضر حداقل سه بهره برداری PoC وجود دارد که به صورت عمومی در دسترس است ، برخی از آنها دارای قابلیت هایی بسیار فراتر از حد مجاز بهره برداری اصلی هستند.

Microsoft fix از سرورهای ویندوزی که به عنوان کنترل کننده دامنه یا دستگاه های ویندوز 10 که از تنظیمات پیش فرض استفاده می کنند ، تنظیم شده است ، محافظت می کند. تظاهرات Delpy در روز چهارشنبه نشان می دهد که PrintNightmare در برابر طیف وسیع تری از سیستم ها کار می کند ، از جمله سیستم هایی که Point و Print را فعال کرده و گزینه NoWarningNoElevationOnInstall را انتخاب کرده اند. محقق در Mimikatz متوجه بهره برداری شد.

“مجوز لازم است”

علاوه بر تلاش برای بستن آسیب پذیری اجرای کد ، اصلاحیه CVE-2021-34527 همچنین مکانیزم جدیدی را نصب کرده است که به مدیران ویندوز اجازه می دهد محدودیت های سختگیرانه تری را هنگام تلاش کاربران برای نصب نرم افزار چاپگر اعمال کنند.

مشاوره مایکروسافت گفت: “قبل از نصب به روزرسانی های 6 ژوئیه 2021 و به روزرسانی های اخیر ویندوز حاوی محافظت از CVE-2021-34527 ، Printer Operators Group Security می تواند درایورهای چاپگر امضا شده و امضا نشده را روی سرور نصب کند. “پس از نصب چنین به روزرسانیها ، گروههای مدیر واگذار شده مانند اپراتورهای چاپگر فقط می توانند درایورهای چاپگر امضا شده را نصب کنند. برای نصب درایورهای چاپگر بدون امضا در سرور چاپگر ، به اعتبار سرپرست احتیاج دارید. “

اگرچه وصله در خارج از محدوده در روز سه شنبه ناقص است ، اما همچنان در برابر بسیاری از حملات که از آسیب پذیری حلقه چاپ استفاده می کنند ، محافظت قابل توجهی می کند. در حال حاضر هیچ مورد شناخته شده ای از محققان وجود ندارد که بگویند این سیستم ها را در معرض خطر قرار می دهد. تا زمانی که تغییر نکند ، کاربران ویندوز باید اصلاحات ژوئن و سه شنبه را نصب کرده و منتظر دستورالعمل های بعدی مایکروسافت باشند. نمایندگان این شرکت بلافاصله در مورد این پست توضیحی ندادند.



[ad_2]

منبع: tarjome-news.ir