Microsoft, Yeni Windows Print Spooler Zero-Day Zafiyeti Keşfedildiğini Açıkladı

Microsoft, CVE-2021-36958 olarak izlenen ve yerel ağ’a sızmış saldırganların bilgisayarda sistem ayrıcalıkları kazanmasına olanak tanıyan yeni bir sıfır gün windows yazdırma biriktiricisi güvenlik açığı için bilgilendirme belgeleri yayınladı. Yeni zero-day “PrintNightmare” zafiyetinin bir parçası olduğu belirtiliyor. Microsoft, genel olarak “PrintNightmare” zafiyetleri için güncellemeler yayınladı ancak yinede zafiyetin bir şekilde istismar edildiği keşfedildi.

Bu güvenlik açığı, bir yazıcıya bağlandığınızda yazıcı sürücüsüyle birlikte istemciye önceden hazırlanmış DLL dosyasını kopyalamak için CopyFile kayıt defteri directive’lerini kullanıyor. Microsoft son güncellemeler ile yazıcı yüklemelerine yönetici haklarına getirse de bu yani zafiyet yönetici haklarına ihtiyaç duymadan istismar ediliyor.

Microsoft, CVE-2021-36958 ile ilgili bilgi paylaştı

Microsoft yaptığı açıklamada, “Bu güvenlik açığından başarıyla yararlanan bir saldırgan, sistem ayrıcalıklarıyla rastgele kod çalıştırabilir, programlar yükleyebilir, verileri görüntüleyebilir, değiştirebilir veya silebilir ya da tam kullanıcı haklarına sahip yeni hesaplar oluşturabilir” dedi. Bu güvenlik açığı için geçici çözüm, Yazdırma Biriktiricisi hizmetini durdurmak ve devre dışı bırakmaktır diye de ekledi.

Bir çok güvenlik araştırmacısı başta Benjamin Delpy ve Will Dormann olmak üzere zafiyeti önceden keşfetmişler ve konu ile ilgili PoC yayınlanmışlarıdı.

Zafiyet ile ilgili kargaşalar ve tartışmalar bitmek bilmiyor. Microsoft zafiyeti RCE olarak değerlendirirken güvenlik uzmanlarıın düşüncesi ise zafiyetin yerel ağ’da istismar edilebileceği yönünde.

CVE-2021-36958 güvenlik açığını için uygulanması gereken mitigate yöntemi

Microsoft bu zafiyet için henüz bir güvenlik güncelleştirmesi yayınlamadı, ancak Yazdırma Biriktiricisini devre dışı bırakılırsa istismarın hafifletileceğini belirtiyor. Yazdırma Biriktiricisini devre dışı bırakmak, cihazınızın yazdırma yapmasını engelleyeceğinden, daha iyi bir yöntem olarak yalnızca cihazınızın yetkili sunuculardan yazıcı yüklemesine izin vermek olarak görünüyor.

User Configuration Administrative Templates > Control Panel > Printers > Package Point and Print – Approved Servers

Tabi bu da tam çözüm değil. Zafiyet ile ilgili Microsoft tarafından gelecek yeni adımlar ve güncellemeler beklenmekte.

Kaynak: bleepingcomputer.com

Exit mobile version