الثغرات
في نهاية شهر يونيو، كان الباحثون الأمنيون يناقشون بنشاط إحدى الثغرات الأمنية في خدمة Windows Print Spooler، والتي أطلقوا عليها اسم PrintNightmare. كان من المفترض أن يصلح التصحيح، الذي تم إصداره في تصحيح شهر يونيو يوم الثلاثاء، الثغرة الأمنية، وقد نجح في ذلك، ولكن حدثت مشكلتان في ذلك الأمر. أغلق التصحيح CVE-2021-1675 ولكن لم يغلق CVE-2021-34527. على أجهزة الكمبيوتر أو الخوادم التي تعمل بنظام التشغيل Windows غير المصححة، يمكن للمخترقين استخدام الثغرات الأمنية للسيطرة لأن خدمة Windows Print Spooler تكون نشطة بشكل افتراضي على جميع أنظمة Windows.
تستخدم Microsoft الاسم PrintNightmare للثغرة CVE-2021-34527 ولكن ليس CVE-2021-1675؛ ومع ذلك، يستخدمه العديد من الآخرين لكلتا الثغرتين الأمنيتين.
لقد درس خبراؤنا كلتا الثغرتين بالتفصيل وتأكدوا من أن حلول Kaspersky الأمنية ، مع تقنية منع الاستغلال والحماية القائمة على السلوك تمنع محاولات استغلالهما.
لماذا تُعد ثغرة PrintNightmare خطيرة
تُعد ثغرة PrintNightmare في غاية الخطورة لسببين رئيسيين. أولاً، تكون خدمة Windows Print Spooler مُمكَّنة افتراضيًا على جميع الأنظمة المستندة إلى Windows، بما في ذلك وحدات التحكم بالمجال وأجهزة الكمبيوتر التي تتمتع بامتيازات مسؤول النظام، مما يجعل جميع أجهزة الكمبيوتر هذه عرضة للخطر.
ثانيًا، أدى سوء تفاهم بين فرق الباحثين (وربما خطأ بسيط) إلى نشر إثبات مفهوم استغلال PrintNightmare على الإنترنت. كان الباحثون المعنيون متأكدين تمامًا من أن التصحيح الخاص بشهر يونيو من Microsoft قد حل المشكلة بالفعل، لذلك شاركوا عملهم مع مجتمع الخبراء. ومع ذلك، ظلت الثغرة خطيرة. تمت إزالة إثبات المفهوم (PoC) بسرعة، ولكن ليس قبل أن تنسخه العديد من الأطراف، ولهذا السبب يتوقع خبراء Kaspersky ارتفاعًا في محاولات استغلال ثغرة PrintNightmare.
الثغرات واستغلالها
CVE-2021-1675 هي ثغرة رفع امتيازات.إذ تسمح للمهاجم الذي يتمتع بامتيازات وصول منخفضة بصياغة ملف DLL ضار واستخدامه لتشغيل استغلال واكتساب امتيازات أعلى. إلا أن هذا الأمر لن يكون ممكنًا إلا إذا كان المهاجم لديه بالفعل صلاحية الوصول المباشر إلى الكمبيوتر المعرض للخطر. تعتبر Microsoft أن هذه الثغرة الأمنية منخفضة المخاطر نسبيًا.
تُعد ثغرة CVE-2021-34527 أكثر خطورة إلى حد كبير:على الرغم من أنها تشابه الثغرة الأخرى، إلا أنها ثغرة تنفيذ تعليمات برمجية عن بُعد (RCE)، مما يعني أنها تسمح بحقن ملفات DLL عن بُعد. لقد شاهدت Microsoft بالفعل استغلالات لهذه الثغرة الأمنية بطريقة جامحة، ويوفر Securelist وصفًا تقنيًا أكثر تفصيلاً لكل من الثغرتين وتقنيات استغلالهما.
نظرًا لأن المخترقين يمكنهم استخدام ثغرة PrintNightmare للوصول إلى البيانات الموجودة في البنية الأساسية للشركة، فقد يستخدمون أيضًا استغلال هجمات برامج الفدية.
كيفية حماية بنيتك الأساسية من ثغرة PrintNightmare
إن خطوتك الأولى للحماية من هجمات PrintNightmare هي تثبيت كلا تصحيحي –يونيو وأغسطس – من Microsoft. تعرض الصفحة الأخيرة أيضًا بعض الحلول من Microsoft في حالة عدم تمكنك من استخدام التصحيحات، ولا تتطلب إحداها حتى تعطيل خدمة Windows Print Spooler.
ومع ذلك، فإننا نقترح بشدة تعطيل خدمة Windows Print Spooler على أجهزة الكمبيوتر التي لا تحتاج إليها. على وجه الخصوص، من المستبعد جدًا أن تحتاج خوادم وحدة التحكم بالمجال إلى القدرة على الطباعة.
بالإضافة إلى ذلك، تحتاج جميع الخوادم وأجهزة الكمبيوتر حلولاً أمنية موثوقة لنقاط النهاية ، والتي تمنع محاولات استغلال الثغرات الأمنية المعروفة وغير المعروفة حتى الآن، ومن بينها ثغرة PrintNightmare.
النصائح