CVE-2021-1675 وCVE-2021-34527: PrintNightmare - تنفيذ التعليمات البرمجية عن بعد لطابعة ويندوز

نظرة عامة

ستناقش هذه المقالة معلومات تتعلق بالثغرات الأمنية التالية:

CVE المنتج المتأثر CVSSv3
CVE-2021-1675 طابعة ويندوز

9.8

CVE-2021-34527 طابعة ويندوز 8.8

خلفية

هناك حاليًا اثنان من CVE ذو الملاحظة:

  • في يونيو 2021، تم التعرف على ثغرة في تنفيذ التعليمات البرمجية عن بعد في الخدمة Windows Print Spooler وتم تعيين CVE-2021-1675. 
  • في 1 من يوليو، أصدرت Microsoft تنويهًا لـ CVE-2021-34527. تم الإشارة إلى هذا على أنه 'PrintNightmare' من قبل وسائل الإعلام. تلاحظ مايكروسوفت أن هذا CVE هو مشكلة مميزة ومنفصلة عن الخلل الذي تم التعامل معه في CVE-2021-1675.

التأثير

الثغرة الأمنية الأكثر بروزًا التي تم الكشف عنها كجزء من هذا التنويه هي CVE-2021-34527 (PrintNightmare.). هذه ثغرة في تنفيذ التعليمات البرمجية عن بعد تؤثر على طابعة ويندوز، ولا تتطلب أن يكون النظام يحتوي على طابعة متصلة لتكون معرضة للخطر.

CVE-2021-1675

قد يؤدي استغلال CVE-2021-1675 إلى منح المهاجمين عن بُعد السيطرة الكاملة على الأنظمة المعرضة للخطر. لتحقيق تنفيذ التعليمات البرمجية عن بعد، سيحتاج المهاجمون إلى استهداف مستخدم مصادق عليه لخدمة الطابعة. بدون المصادقة، يمكن استغلال الخلل لرفع الامتيازات، مما يجعل هذه الثغرة رابطًا قيمًا في سلسلة الهجوم.

تم التعامل مع CVE-2021-1675 بواسطة تحديث أمني من مايكروسوفت تم إصداره في 8 يونيو 2021.

CVE-2021-34527

CVE-2021-34527، الذي أعلن عنه في 1 يوليو، هو أيضًا ثغرة في تنفيذ التعليمات البرمجية عن بعد ضمن الخدمة Windows Print Spooler. يمكن أن يتيح استغلال الثغرة بنجاح للمهاجمين القدرة على تنفيذ تعليمات برمجية عشوائية بامتيازات النظام، بما في ذلك تثبيت برامج، أو عرض/تغيير/حذف البيانات، أو إنشاء حسابات جديدة بكامل حقوق المستخدم. مع أن هذا ما زال يتطلب حساب مستخدم مصادق عليه كما هو الحال مع CVE-2021-1675.

يجب أن يتضمن الهجوم مستخدمًا مصادقًا يستدعي RpcAddPrinterDriverEx().

كل إصدارات ويندوز معرضة للخطر.

حل كاتو

بهدف حماية عملائنا، كاتو اتخذت الخطوات التالية:

  • تم نشر مجموعة من توقيعات نظام منع التطفل (IPS) عالميًا للتخفيف من تهديد هذه الثغرة.
  • إذا قمت بتمكين كاتو IPS، فأنت محمي من هذا الاستغلال دون الحاجة إلى تغييرات في التكوين (أو تحديث قاعدة بيانات توقيعات IPS) من جانبك. ومع ذلك، ننصحك باتباع تنويهات البائع لتخفيف الاستغلال من المصدر.  
  • في حالة تحديد حركة مرور ضارة غير مشفرة تتطابق مع توقيع CVE-2021-1675 أو CVE-2021-34527، سيتم حظر هذه الحركة وسيتم إنشاء سجل دليل داخل تطبيق إدارة كاتو ضمن نافذة اكتشاف الأحداث. 

ملاحظة: يوصى باتباع تنويه الأمان من مايكروسوفت وتعطيل خدمة الطابعة على المنصات المتأثرة حتى يتم إصدار تصحيح من مايكروسوفت لمعالجة هذه الثغرة.

بالإضافة إلى ذلك، نوصي في كاتو بأن تحافظ دائمًا على تحديث أنظمتك بآخر تحديثات الأمان من مايكروسوفت واستراتيجيات التخفيف من البائع. قد يساعد هذا في التخفيف من أي ثغرات إضافية قد تظهر في منتجات مايكروسوفت. 

هل كان هذا المقال مفيداً؟

2 من 2 وجدوا هذا مفيداً

لا توجد تعليقات