Microsoft’un başı Windows Print Spooler hizmeti ile ciddi anlamda belada. Hemen hemen zafiyetin biri biterken diğeri başlıyor. Microsoft’un CVE-2021-34527 olarak izlediği PrintNightmare zafiyetinin yankıları daha bitmeden yeni bir tane aynı hizmette zero-day zafiyeti keşfedildi.
Güvenlik araştırmacısı ve Mimikatz’ın programcısı Benjamin Delpy, bir saldırganın kontrol ettiği uzak bir yazdırma sunucusunu kullanarak bir windows tabanlı sistem üzerinde sistem ayrıcalıklarına kolayca erişmesine olanak tanıyan yeni bir sıfır gün güvenlik açığını kamuoyuna duyurdu.
Delpy, istismarının bir istemci bir saldırganın kontrolü altındaki bir baskı sunucusuna bağlandığında kötü amaçlı bir DLL dosyasını otomatik olarak indirmek ve yürütmek için Windows Point and Print capability özelliğinin ‘ Queue-Specific Files ‘ özelliğini kullandığını söyledi .
Araştırmacı bu güvenlik açığından yararlanmak için kuyruğa özgü dosyalar özelliğini kullanan iki paylaşılan yazıcıyla İnternet üzerinden erişilebilen bir yazdırma sunucusu oluşturdu.
Özel olarak hazırlanmış DLL’i sistemde çalıştırıldıktan sonra sistem ayrıcalıklarıyla çalıştırabileceğini ve bilgisayarda herhangi bir komutu çalıştırmak için kullanabileceğini fark etti.
Diğer bir güvenlik açığı analisti olan Will Dormann , bu güvenlik açığı için daha fazla bilgi sağlayan bir danışma belgesi yayınladı.
Windows, sürücü paketlerinin kendilerinin güvenilir bir kaynak tarafından imzalanmasını zorunlu kılarken, Windows yazıcı sürücüleri , aygıtın kullanımıyla ilişkili kuyruğa özgü dosyaları belirleyebilir . Örneğin paylaşılan bir yazıcı, CopyFiles
rastgele ICM dosyaları için bir yönerge belirleyebilir
Dijital imzalı yazıcı sürücüsü dosyaları ile kopyalanan bu dosyalar herhangi bir imza şartına tabi değildir . Yani herhangi bir dosya Point and Print yazıcı sürücüsü kurulumu ile istemci sisteme kopyalanabilir. Bu güvenlik açığını bu kadar tehlikeli yapan şey, Windows’un tüm mevcut sürümlerini etkilemesi ve bir tehdit aktörünün bir ağa sınırlı erişim elde etmesine ve savunmasız cihaz üzerinde anında sistem ayrıcalıklarına ulaşmasına izin vermesidir. Bu erişimi kullanarak, saldırganlar bir etki alanı denetleyicisine erişim elde edene kadar ağ üzerinden yanlamasına yayılabilir.
Zafiyet İçin Alınabilecek Tedbirler İse Şöyle
Seçenek 1: Ağ sınırınızda giden SMB trafiğini engelleyin
Delpy’nin genel kullanımı uzak bir yazdırma sunucusu kullandığından, uzak bilgisayara erişimi engellemek için giden SMB trafiğini engelleyebilirsiniz.
Ancak Dormann, MS-WPRN’nin SMB kullanmadan sürücüleri yüklemek için de kullanılabileceğini ve saldırganların bu tekniği yerel bir yazıcı sunucusuyla kullanmaya devam edebileceğini belirtiyor.
Seçenek 2: PackagePointAndPrintServerList’i Yapılandırın
Bu istismarı önlemenin daha iyi bir yolu, İşaretle ve Yazdır’ı ‘Package Point and print – Approved servers’ grup ilkesini kullanarak bir onaylı sunucular listesiyle kısıtlamaktır.
Bu ilke, yazdırma sunucusu onaylanan listede olmadığı sürece, yönetici olmayan kullanıcıların İşaretle ve Yazdır’ı kullanarak yazdırma sürücülerini yüklemelerini engeller.
Bu grup ilkesini kullanmak, bilinen istismara karşı en iyi korumayı sağlayacaktır. Microsoft şu an için zafiyet ile ilgili bir açıklama yapmazken alınabilecek tedbirler sınırlı gözüküyor.