Microsoft, saldırganların Windows aygıtlarında hızlı bir şekilde yönetici ayrıcalıkları kazanmasına izin veren son kalan PrintnightMare sıfır gün güvenlik açıklarını düzeltmek için bir güvenlik güncelleştirmesi yayınladı.
Haziran ayında, sıfır gün bir Windows yazdırma biriktiricisi güvenlik açığı Dubbed BLightMare (CVE-2021-34527) yanlışlıkla açıklandı. Bu güvenlik açığı, uzaktan kod yürütülmesini gerçekleştirmek ve yerel sistem ayrıcalıkları kazanmak için Windows Noktası ve Yazdırma özelliğini istifa eder.
Microsoft, çeşitli PripnightMare güvenlik açıklarını düzeltmek için iki güvenlik güncelleştirmesi yaparken, güvenlik araştırmacısı Benjamin Delpy tarafından kamuya açık bir başka güvenlik açığı, tehdit aktörlerinin uzak bir baskı sunucusuna bağlanarak hızlı bir şekilde sistem ayrıcalıkları kazanmasına izin verdi.
Aşağıda gösterildiği gibi, Delpy'nin güvenlik açığı, bir kullanıcı bir kullanıcının uzak bir yazıcı kurduğunda, sistem ayrıcalıklarını kullanarak kötü amaçlı DLL dosyasını kopyalamak ve yürütmek için CopyFiles Direktifini kötüye kullandı. Exploit DLL'yi piyasaya sürdükten sonra, tüm komutların sistem ayrıcalıklarıyla yürütüldüğü bir konsol penceresi açar.
Sorunları daha da kötüleştirmek için, toplum, magniber ve conti gibi fidye yazılım çeteleri, tehlikeye giren cihazlarda yükseltilmiş ayrıcalıklar elde etmek için hatayı kullanmaya başladı.
Kalan bu PrintNightMare güvenlik açığı CVE-2021-36958 olarak izlenir ve 2020'de Microsoft'u Microsoft'a özel olarak açıklayan Fusionx, Accenture Security'nin Victor Mata'ya atfedilir.
Bugünün Eylül 2021 Yama Salı Güvenlik Güncellemeleri'nde, Microsoft, Kalan PripnightMare güvenlik açığını düzelten CVE-2021-36958 için yeni bir güvenlik güncelleştirmesi yayınlamıştır.
Yeni güvenlik güncelleştirmesine karşı istismarını test eden Delpy, BleepingComputer'ı hatanın şimdi düzeltildiği onaylandı.
#printnightmare patch salı günü vaat eden pic.twitter.com/ojwcl79io9 gibi görünüyor
Güvenlik açığının düzeltilmesinin yanı sıra, Delpy, Microsoft'un CopyFiles özelliğini varsayılan olarak devre dışı bıraktığını ve yöneticilerin tekrar etkinleştirilmesine izin veren belgelenmemiş bir Grup İlkesi eklediğini söyledi.
Bu politika, HKLM \ Software \ Policies \ Microsoft \ Windows NT \ Yazıcı Tuşu'ndaki Windows kayıt defterinde ve CopyFilespolicy adlı bir değer ekleyerek yapılandırılabilir. '1' olarak ayarlandığında, CopyFiles tekrar etkinleştirilecektir.
Bununla birlikte, etkin olsa bile, Delpy, BleepingComputer'a yalnızca Microsoft'un C: \ Windows \ System32 \ mscms.dll dosyasının bu özellik ile kullanılmasına izin vereceğini söyledi.
Bu değişiklik, Windows'un varsayılan davranışını etkileyeceği için, Windows'ta yazdırırken hangi konulara neden olacağı açık değildir.
Microsoft, şu anda bu yeni Grup İlkesi hakkında herhangi bir bilgi yayınlamamıştır ve Grup İlkesi Düzenleyicisi'nde mevcut değildir.
PrintNightMare Güvenlik Açığı'na ek olarak, bugünün güncellemeleri de aktif olarak kullanılmış bir Windows MSHTML sıfır gün güvenlik açığını düzeltir.
Bu güvenlik açıklarının her ikisi de, saldırılardaki tehdit aktörleri tarafından kötüye kullanıldığı için, günümüzün Salı güvenlik güncellemelerini en kısa sürede kurmak kritik öneme sahiptir.
Yeni Windows Güvenlik Güncellemeleri Ağ Yazdırmayı Break
Microsoft, başka bir Windows yazdırma biriktiricisi sıfır gün böcek onaylar
Microsoft'un eksik printnightMare yaması güvenlik açığını düzeltemez
Yeni Windows PrintNightMare Sıfır Günleri Ücretsiz Resmi olmayan yama alın
Microsoft Eylül 2021 yama Salı 2 Sıfır-gün, 60 kusurları düzeltti
Kaynak: Bleeping Computer