Haziran ayından bu yana keşfedilen tüm yeni PripnightMare sıfır gün güvenlik açıklarından Windows kullanıcılarını korumak için ücretsiz bir gayri resmi yama yayınlandı.
Teknik detaylar ve bir kavram kanıtı (POC) 'PrintNightMare' adlı yeni bir Windows yazdırma biriktirici güvenlik açığı için Kullanıcı (CVE-2021-34527) Haziran ayında yanlışlıkla açıklandı.
Bu güvenlik açığı, kötü amaçlı yazıcı sürücülerini kurarak uzaktan kod yürütülmesine ve yerel ayrıcalık artışına izin verir.
Microsoft, uzaktan kod yürütme kısmı için bir güvenlik güncelleştirmesi yayınlarken, araştırmacılar yerel ayrıcalık yükseklik bileşenini hızla atladı. O zamandan beri, Güvenlik Araştırmacısı ve Mimikatz Creator Benjamin Delpy, açılmamış olan yazdırma biriktiricisini hedef alan daha fazla güvenlik açıkını geliştirmiştir.
Bunlar, herkesin yerel bir cihazda sistem ayrıcalıkları, hatta bir etki alanı denetleyicisi, hatta uzak bir Internet erişilebilir yazdırma sunucusuna bağlanarak ve kötü amaçlı bir yazdırma sürücüsü yükleyerek kritik güvenlik açıklarıdır.
Bir tehdit aktör bir zamanlar sistem ayrıcalıkları kazandığında, sistem için bir oyundur. Bu bir etki alanı denetleyicisinde yapılırsa, tehdit aktör şimdi Windows etki alanını etkin bir şekilde kontrol eder.
Sıfır-gün için Mitigasyonlar, bir yazıcı sürücüsü yüklemek için kullanılabilecek onaylı baskı sunucularının beyaz bir listesini belirlemenizi sağlayan 'PackagePoinTandPrintServerList' Grup İlkesi ile zaten mevcuttur.
Bu politikayı etkinleştirmek, sahte bir sunucu adı ile birlikte, baskı sunucusu engelleneceği için delpy'nin istismarlarını etkili bir şekilde engelleyecektir.
Bununla birlikte, bir yama kurmak isteyenler için ve grup politikaları ile tavsiyeleri ve keman'ı anlamaya çalışmayanlar için, 0Patch Mikrodalga Servisi, bilinen tüm PrintnightMare güvenlik açıklarını düzeltmek için kullanılabilecek ücretsiz bir mikropatch serbest bıraktı.
"Bu nedenle, Grup İlkesi tabanlı geçici çözümünü bir mikropatch, engelleme noktası ve yazıcı yazıcı sürücüsü yüklemesi olarak uygulamaya karar verdik. Bu geçici çözüm Grup İlkesi Ayarları'nı kullanıyor:" Sadece Paket Noktasını Kullan ve Yazdır'ı Kullan " İmzalı bir paketin şekli, "Paket Noktası ve Yazdırma - Onaylı Sunucular", yazıcı sürücüsünün paketlerinin kurulmasına izin verilen sunucu kümesini sınırlar. " Kolsek bir blog yazısında açıklar.
"Bu ayarlar kayıt defteri üzerinden yapılandırılabilir. Bizim yamamız, win32spl.dll'deki PACKAGEPOINTANDARTONLY ve PACKAGEPOINTDRINTSERVERSERLES DEĞERLERİNE BAĞLANTIĞINDAN VE BOOSCHED SUNUŞLARININ listesini etkinleştiren 1 olarak ayarlanan ve 1 olarak ayarlandığına inanan Win32spl.dll'deki işlevi değiştirir.
Bir 0Patch hesabı kaydetmeniz ve ardından yamayı yüklemek için Windows cihazınıza bir Ajan'ı yüklemeniz gerekir. Kurulduktan sonra, 0Patch sizi PRINTNEWNMARE güvenlik açığından ve diğer açmamış hatalardan otomatik olarak koruyacaktır.
BleepingComputer tarafından bir testte, bir kez kurulduktan sonra, Delpy'nin kötü amaçlı yazım sürücüsünü yüklemeye çalışırsanız, bir politika, bir politenin bilgisayarın yazdırma kuyruğuna, aşağıda gösterildiği gibi tıklamasını engellediğini belirten bir mesaj görünecektir.
0Patch, açılmamış güvenlik açıklarını engellemek için önemli bir araçtırken, delpl, bu özel durumda, bu özel durumda, bilinen tüm PripnightMare hatalarının sömürüsünü engelleyen grup politikalarını sağlayan, daha iyi bir yaklaşım olabilir.
"Ayarları itmek için ikili dosyaları bir bilgisayara basarsanız ... Ayarları da basabilirsiniz" dedi.
"Bunu yapmak, hafızadaki işlemi değiştirmekten kaçınır, her zaman güvenlik ürününün sevmediği tehlikeli bir şey (ve MS desteklemez ...)."
CISA: Yazdırma için kullanılmayan sunucularda Windows yazdırma biriktiricisini devre dışı bırak
Microsoft Paylaşımları Windows 10 Ciddi Sunucusu Güvenlik Açığı için geçici çözüm
Microsoft'un eksik printnightMare yaması güvenlik açığını düzeltemez
Windows 10'da Yazdırma Biriktirici Güvenlik Açığı Nasıl Alaşılır?
Genel Windows PrintNightMare 0 günlük Exploit etki alanı devralınmasına izin verir
Kaynak: Bleeping Computer