انتشار امضاهای IPS پارس‌گیت برای آسیب پذیری PrintNightmare

این گزارش به چگونگی پیشگیری، شناسایی و مقابله با حملاتی که از آسیب‌پذیری CVE-۲۰۲۱-۳۴۵۲۷ موسوم به PrintNightmare سوءاستفاده می‌کنند پرداخته است.

شرکت مایکروسافت برای آسیب پذیری برروی سرویس Windows Print Spooler با شناسه  CVE-۲۰۲۱-۱۶۷۵  که یک آسیب پذیری از نوع افزایش سطح دسترسی  است اقدام به انتشار وصله های امنیتی نموده است. همچنین آسیب پذیری دیگری بر روی همین سرویس با شناسه CVE-۲۰۲۱-۳۴۵۲۷ و با بردار حمله متفاوت شناسایی گردیده است. این آسیب پذیری که از نوع اجرای کد دلخواه از راه دور است، با نام PrintNightmare شناخته شده است. آسیب‌پذیری با شناسه CVE-۲۰۲۱-۱۶۷۵  با سوء استفاده از یک خطای پیکربندی در سرویس spoolsv.exe در سیستم عامل ویندوز، به یک مهاجم با دسترسی domain credentials اجازه می‌دهد که یک DLL مخرب مربوط به درایور پرینتر را اجرا کند و از این طریق اقدام به افزایش سطح دسترسی خود تا سطح SYSTEM کند. این آسیب پذیری دارای مقدار ۷,۸ در معیار CVSS۳.۰ بوده و در دسته ی High قرار می گیرد و میزان شدت آن توسط مایکروسافت Critical عنوان شده است. آسیب پذیری فوق طبق اعلام مایکروسافت به شکل عمومی افشا نگردیده و مورد سوء استفاده قرار نگرفته است. همچنین به ادعای مایکروسافت سوء استفاده از این آسیب پذیری به دلیل پیچیدگی های پیاده سازی احتمال کمی دارد.

شرکت امن‌افزار در این رابطه گزارش تحلیلی زیر را جهت پیشگیری، شناسایی و مقابله با حملات استفاده‌کننده از این آسیب‌پذیری منتشر کرده است که از طریق لینک زیر قابل دریافت می باشد.

 

لینک گزارش

https://www.dropbox.com/s/wxeemw۵uk۴z۲۷۶z/۴۰۰۰۴۱۶-SOCERT-Amnafzar-PrintSpooler%۲۰v۱,۲.pdf?dl=۰

امن افزار گستر شریف