بازهم سرویس Print Spooler در ویندوز امکان اجرای کد از راه دور (RCE) را فراهم کرد

اکسپلویت (PoC) مربوط به آسیب پذیری اجرای کد از راه دور (RCE) است که Windows Print Spooler را تحت تأثیر می دهد و وصله آن توسط مایکروسافت در اوایل این ماه به طور خلاصه بصورت آنلاین منتشر شد تا اینکه مشکل برطرف شود.

ای آسیب پذیری که با نام CVE-2021-1675 شناخته می شود، به مهاجمان امکان کنترل کامل سیستم های آسیب پذیر از راه دور را می دهد. Print Spooler فرآیند چاپ در ویندوز از جمله بارگیری درایورهای چاپگر مناسب و برنامه ریزی کارها برای چاپ را مدیریت می کند.

اوایل شناسایی این نقص ماکروسافت به عنوان بخشی از بروزرسانی Patch Tuesday در ۸ ژوئن ۲۰۲۱ این آسیب پذیری را برطرف کرد. اما تقریباً دو هفته بعد، مایکروسافت نوع آسیب پذیری را از elevation of privilege به اجرای کد از راه دور (RCE) اصلاح کرد و همچنین سطح شدت را از مهم به بحرانی (Critical) ارتقا داد.

شرکت امنیتی چینی QiAnXin در اوایل این هفته فاش کرد که او قادر به یافتن روش های مناسب برای استفاده از نقص است، و برای نتیجه یک بهره برداری موفقیت آمیز که منجر به دستیابی به RCEشده است را مطرح کرد.

اگرچه محققان از به اشتراک گذاشتن مشخصات فنی اضافی خودداری کردند ، شرکت امنیت سایبری مستقر در هنگ کنگ Sangfor آنچه در واقع یک غوطه وری مستقل از همان آسیب پذیری است ، به همراه یک کد PoC کاملاً کارا برای GitHub منتشر کرد ، جایی که قبل از آفلاین شدن در دسترس عموم بود چند ساعت بعد

شرکت امنیتی Sangfor نام این آسیب پذیری را “PrintNightmare” گذاشت. محققان این شرکت از اشتراک گذاری اطلاعات اضافی خودداری کردند اما این شرکت برای کارا بودن این آسیب پذیری کد PoC را در گیت هاب به اشتراک گذاشت که چند ساعت پس از منتشر شدن از دسترس عموم خارج شد.

Zhiniang Peng ، محقق اصلی امنیت Sangfor در توییتر خود نوشت: “ما کد PoC مربوط  of PrintNightmare را حذف کردیم و برای رفع این آسیب پذیری، ویندوز را به آخرین نسخه به روز کنید یا سرویس Spooler را غیرفعال کنید.” و با توجه به این توییت انتظار می رود یافته های این آسیب پذیری در کنفرانس Black Hat USA ماه آینده ارائه شود.

Windows Print Spooler مدتهاست یکی از آسیب پذیری های امنیتی است و مایکروسافت فقط در یک سال گذشته حداقل سه مورد مشابه این آسیب پذیری مربوط به این سرویس را CVE-2020-1048) CVE-2020-1300 و CVE-2020-1337) برطرف کرده است. قابل ذکر است، نقص در این سرویس نیز برای دستیابی به دسترسی از راه دور و انتشار کرم استاکس نت در سال ۲۰۱۰ با هدف قرار دادن تأسیسات هسته ای ایران نیز مورد سو استفاده قرار گرفت.

  • Active Directory Pentesting Full Course – Red Team Hacking

Active Directory Pentesting Full Course – Red Team Hacking

Active Directory Pentesting Full Course – Red Team Hacking   اکثر شبکه های امروزی از سرویس اکتیو دایرکتوری برای مدیریت اکانتینگشبکه استفاده میکنند . در واقع سرویس AD برای مدیریت لاگین و دسترسی [...]