به روز رسانی های مایکروسافت آسیب پذیری های PrintNightMare را برطرف نمی کنند!

آسیب‌پذیری PrintNightmare در سیستم‌های ویندوز که این روزها سر و صدای زیادی به پا کرد، سرانجام روز چهارشنبه توسط مایکروسافت با انتشار یک به‌روزرسانی برطرف شد. اما تنها یک روز بعد، محققان امنیتی اعلام کردند که موفق به دور زدن این به‌روزرسانی‌ها شده‌اند و به دنبال آن کد از راه دور ارائه شده و سطح دسترسی را گسترش داده‌اند. آنها گفتند که مایکروسافت فقط تا حدی آسیب پذیری اجرای کد را حذف کرده است و سیستم های ویندوز حتی پس از نصب وصله ها آسیب پذیر باقی می مانند.

مهاجمان حتی پس از نصب وصله‌های امنیتی مایکروسافت می‌توانند دسترسی خود به سیستم را از طریق بدافزار و سایر ابزارهای مخرب ارتقا دهند. البته برای این کار باید سیاست هدف گذاری و چاپ فعال شود.

در مورد پیاده سازی از راه دور کد آسیب پذیری، باید بگوییم که مایکروسافت تا حدودی موفق است، اگرچه انواع مختلفی از افزایش سطوح دسترسی در ویندوزهای 7، 8، 8.1، 2008 و 2012 برای ویندوزهای 2016، 2019، 10، 11 وجود دارد. وضعیت یکسان است و تنها تفاوت این است که Point & Print باید فعال باشد.

اما با تلاش بیشتر بر روی اکسپلویت های خود، محققان توانستند کد را از راه دور بر روی سیستم های ویندوز وصله شده اجرا کنند و علاوه بر افزایش در دسترس بودن، کدهای مخرب را نیز به انتخاب خود اجرا کنند.

یکی از این محققان بنجامین دلفی، خالق ابزار Mimiktaz است که توانسته است به روز رسانی های امنیتی مایکروسافت را دور بزند و کد را از راه دور در حالی که Print and Policy در حال اجراست اجرا کند. او گفت که کار با نام فایل ها و رشته ها با یک ویژگی جدید در ابزار mimikatz تا حدودی چالش برانگیز است، او به جای فرمت \ سرور اشتراک گذاری از UNC استفاده می کند. آقای دلفی خط زیر را در حساب توییتر خود منتشر کرد

> https://t.co/Wzb5GAfWfd pic.twitter.com/HTDf004N7r

او در ادامه توضیح داد که توانسته سروری را که در آن به‌روزرسانی‌های امنیتی نصب شده بود دور بزند و خط‌مشی نقطه و چاپ فعال شود.

اگر به دنبال خط مشی نقطه و چاپ در سیستم خود هستید، مسیر زیر را دنبال کنید:

پیکربندی کامپیوتر > قالب اداری > چاپگرها > محدودیت در هدف گذاری و چاپ.

پس از اینکه مشخص شد نصب وصله ها از 6 جولای تأثیر کمی در رفع این آسیب پذیری خواهد داشت، توصیه می کنیم:

• وصله های 6 جولای را نصب نکنید و به جای آن وصله های 0patch را نصب کنید تا مایکروسافت بتواند به روز رسانی بعدی خود را منتشر کند.
• و سرویس Print Spooler را غیرفعال کنید.

سرویس Print Spooler را در تمام سیستم عامل های مجموعه غیرفعال کنید. به خاطر داشته باشید که کاربران ممکن است به چاپگرها دسترسی داشته باشند، اما با توجه به اهمیت این آسیب پذیری و بی اثر بودن به روز رسانی های ارائه شده توسط مایکروسافت، غیرفعال کردن سرویس Print Spooler منطقی ترین راه حل است.

برای غیرفعال کردن سرویس Print Spooler، ابتدا کد زیر را در PowerShell اجرا کنید:

• دریافت-سرویس-نام اسپولر

سپس دستورات زیر را به ترتیب اجرا کنید.

• Stop-Service -Spuler name -Forced
• Set-Service -Name Spooler -StartupType غیر فعال است

برای غیرفعال کردن چاپ از راه دور ورودی از طریق خط‌مشی‌های Active Directory، به خط‌مشی‌های Active Directory بروید.

• پیکربندی کامپیوتر / قالب های اداری / چاپگرها
• برگه Allow print spooler to accept client connections را غیرفعال کنید.

این کار قابلیت چاپ از راه دور را غیرفعال می کند و از حمله مربوط به این آسیب پذیری جلوگیری می کند، اما همچنان امکان دریافت پرینت سیستم هایی که به صورت محلی به چاپگر متصل هستند وجود دارد.

همچنین پورت های 445 و 135 را ببندید و خدمات بهینه مربوط به این پورت ها را راه اندازی کنید. به عنوان مثال، برای اشتراک گذاری یک فایل، از سرور فایل موجود در مجموعه استفاده کنید و پورت 445 را در همه دستگاه ها باز نگذارید.