Microsoft, Başka Bir Yeni Windows Yazdırma Biriktiricisi Güvenlik Hatası Olduğunu Doğruladı
Microsoft'un yazıcısı ve ilgili sorunlarla ilgili efsane, bugün erken saatlerde firma Windows Yazdırma Biriktiricisi hizmetinde yeni bir güvenlik açığını doğruladığı gibi devam ediyor. Yeni güvenlik açığına CVE-2021-36958 kimliği verildi ve Redmond firması yeni hatayı şu şekilde açıklıyor:
Windows Yazdırma Biriktiricisi hizmeti, ayrıcalıklı dosya işlemlerini hatalı bir şekilde gerçekleştirdiğinde bir uzaktan kod yürütme güvenlik açığı bulunmaktadır. Bu güvenlik açığından başarıyla yararlanan bir saldırgan, SYSTEM ayrıcalıklarıyla rasgele kod çalıştırabilir. Saldırgan daha sonra programları yükleyebilir; verileri görüntüleme, değiştirme veya silme; veya tam kullanıcı haklarına sahip yeni hesaplar oluşturun.
Destanı yakından takip edenler için farkedilebileceği gibi, yeni sorun, şirketin birkaç gün önce bir yama yayınladığı, devam eden PrintNightmare hatasıyla ilgili. Microsoft, Nokta ve Yazdır sürücü kurulumlarını ve güncellemelerini çalıştırmak için yönetici ayrıcalıkları gerektireceğinden, düzeltme ekinin sorunu büyük ölçüde azaltmada yardımcı olması gerektiğini iddia etti. Ancak, yazıcı sürücüsünün zaten yüklü olduğu sistemlerde, yönetici olmayan ve muhtemelen tehdit aktörleri olan kullanıcılar bu güvenlik açığından yararlanmaya devam edebilir.
Microsoft, geçen yıl Aralık ayında bu hatayı bildiren Accenture Security, FusionX'ten Victor Mata'ya teşekkür etti.
Burada, güvenlik açığının uzaktan kod yürütme (RCE) olarak etiketlendiğini belirtmek ilginçtir, ancak CERT'den Will Dormann, Bleeping Computer'a "açıkça yerel (LPE)" veya yerel ayrıcalık yükseltmesi olduğunu söyledi. Aslında, güvenlik açığının belgelerinde Microsoft, saldırı vektörünü yerel olarak tanımlar.
Şirket bir düzeltme üzerinde çalıştığını belirtti ve geçici bir çözüm olarak Yazdırma Biriktiricisi hizmetini devre dışı bırakmak istedi. Ancak güvenlik araştırmacısı Benjamin Delpy, bunu yapmak için baskı hizmetini tamamen devre dışı bırakmaktan daha iyi bir yolu olduğunu söylüyor.
You can prevent this behavior by settings some parameters/GPO:
— ? Benjamin Delpy (@gentilkiwi) July 17, 2021
'Package Point and print - Approved servers'
> https://t.co/HiYRmGqIDw
> https://t.co/h1m9Lyyzhh
Of course, disable outbound access to CIFS/SMB/RPC... pic.twitter.com/gypFJSPViv
Delpy, kullanıcılara Windows Grup İlkesi'ndeki Windows "Paketleme Noktası ve yazdırma - Onaylı sunucular" seçeneğini kullanarak yazdırma işlevlerini yalnızca onaylı sunucularla sınırlamalarını tavsiye etti. Microsoft'a göre:
Bu ilke ayarı, onaylanan sunuculara yönelik paket noktası ve yazdırma bağlantılarını kısıtlar. Bu ayar yalnızca Paketleme Noktası ve Yazdırma bağlantıları için geçerlidir ve paket noktası olmayan ve yazdırma bağlantılarının davranışını yöneten İşaretle ve Yazdırma Kısıtlamaları ilkesinden bağımsızdır.
Onaylı sunucularınızı bu ilkeye eklemek için Grup İlkesi Düzenleyicisi'ne gidin (veya gpedit.msc hizmetini çalıştırın). Ardından, Kullanıcı Yapılandırması > Yönetim Şablonları > Denetim Masası > Yazıcılar > Paket Noktasına gidin ve yazdırın – Onaylı Sunucular (> Düzenle). Bunun, Microsoft'un vurguladığı resmi azaltmanın bir parçası olmadığını, bu nedenle riski size ait olmak üzere uygulayın.