این گزارش به چگونگی پیشگیری، شناسایی و مقابله با حملاتی که از آسیبپذیری CVE-۲۰۲۱-۳۴۵۲۷ موسوم به PrintNightmare سوءاستفاده میکنند پرداخته است.
شرکت مایکروسافت برای آسیب پذیری برروی سرویس Windows Print Spooler با شناسه CVE-۲۰۲۱-۱۶۷۵ که یک آسیب پذیری از نوع افزایش سطح دسترسی است اقدام به انتشار وصله های امنیتی نموده است. همچنین آسیب پذیری دیگری بر روی همین سرویس با شناسه CVE-۲۰۲۱-۳۴۵۲۷ و با بردار حمله متفاوت شناسایی گردیده است. این آسیب پذیری که از نوع اجرای کد دلخواه از راه دور است، با نام PrintNightmare شناخته شده است. آسیبپذیری با شناسه CVE-۲۰۲۱-۱۶۷۵ با سوء استفاده از یک خطای پیکربندی در سرویس spoolsv.exe در سیستم عامل ویندوز، به یک مهاجم با دسترسی domain credentials اجازه میدهد که یک DLL مخرب مربوط به درایور پرینتر را اجرا کند و از این طریق اقدام به افزایش سطح دسترسی خود تا سطح SYSTEM کند. این آسیب پذیری دارای مقدار ۷,۸ در معیار CVSS۳.۰ بوده و در دسته ی High قرار می گیرد و میزان شدت آن توسط مایکروسافت Critical عنوان شده است. آسیب پذیری فوق طبق اعلام مایکروسافت به شکل عمومی افشا نگردیده و مورد سوء استفاده قرار نگرفته است. همچنین به ادعای مایکروسافت سوء استفاده از این آسیب پذیری به دلیل پیچیدگی های پیاده سازی احتمال کمی دارد.
شرکت امنافزار در این رابطه گزارش تحلیلی زیر را جهت پیشگیری، شناسایی و مقابله با حملات استفادهکننده از این آسیبپذیری منتشر کرده است که از طریق لینک زیر قابل دریافت می باشد.
لینک گزارش
https://www.dropbox.com/s/wxeemw۵uk۴z۲۷۶z/۴۰۰۰۴۱۶-SOCERT-Amnafzar-PrintSpooler%۲۰v۱,۲.pdf?dl=۰
بدون دیدگاه