अवलोकन
यह लेख निम्नलिखित कमजोरियों से संबंधित जानकारी पर चर्चा करेगा:
| CVE | प्रभावित उत्पाद | CVSSv3 |
|---|---|---|
| CVE-2021-1675 | विंडोज प्रिंट स्पूलर |
9.8 |
| CVE-2021-34527 | विंडोज प्रिंट स्पूलर | 8.8 |
पृष्ठभूमि
वर्तमान में दो महत्वपूर्ण CVEs हैं:
- June 2021 में, विंडोज प्रिंट स्पूलर में एक रिमोट कोड एक्जीक्यूशन (RCE) कमजोरियों की पहचान की गई थी और CVE-2021-1675 को असाइन किया गया था।
- 1 जुलाई को, Microsoft ने CVE-2021-34527 के लिए एक सलाह जारी की। मीडिया आउटलेट्स द्वारा इसे 'PrintNightmare' कहा गया है। Microsoft नोट करता है कि यह CVE एक अलग और स्वतंत्र समस्या है जिसे CVE-2021-1675 द्वारा निपटाया गया था।
प्रभाव
इस सलाह के भाग के रूप में प्रकट की गई सबसे उल्लेखनीय कमजोरी CVE-2021-34527 (PrintNightmare) है। यह एक रिमोट कोड एक्जीक्यूशन कमजोरियों है जो विंडोज प्रिंट स्पूलर को प्रभावित करता है, और इस कमी का फायदा उठाने के लिए सिस्टम में अटैच प्रिंटर होने की आवश्यकता नहीं है।
CVE-2021-1675
CVE-2021-1675 का शोषण दूरस्थ हमलावरों को असुरक्षित सिस्टम का पूर्ण नियंत्रण दे सकता है। रिमोट कोड एक्जीक्यूशन को प्राप्त करने के लिए, हमलावरों को स्पूलर सेवा से प्रमाणीकरण किया गया उपयोगकर्ता लक्षित करना होगा। प्रमाणीकरण के बिना, दोष का शोषण विशेषाधिकार बढ़ाने के लिए किया जा सकता है, जिससे यह कमज़ोरी एक हमले की श्रृंखला में एक मूल्यवान कड़ी बन जाती है।
CVE-2021-1675 को 8 जून, 2021 को जारी किए गए Microsoft सुरक्षा अपडेट द्वारा संबोधित किया गया था।
CVE-2021-34527
1 जुलाई को घोषणा की गई CVE-2021-34527 भी विंडोज प्रिंट स्पूलर सेवा के भीतर एक रिमोट कोड एक्जीक्यूशन कमजोरियों है। कमजोरी का सफल शोषण हमलावरों को सिस्टम विशेषाधिकार के साथ मनमाना कोड निष्पादित करने की क्षमता देगा, जिसमें प्रोग्राम्स को स्थापित करना, डेटा देखने/परिवर्तन करना/हटाना, या पूर्ण उपयोगकर्ता अधिकारों के साथ नए खाते बनाना शामिल है। हालांकि यह अभी भी CVE-2021-1675 के साथ प्रमाणीकरण किया गया उपयोगकर्ता खाता आवश्यक है।
एक हमला एक प्रमाणीकरण उपयोगकर्ता द्वारा RpcAddPrinterDriverEx() को कॉल करना चाहिए।
विंडोज के सभी संस्करण संभावित रूप से असुरक्षित हैं।
Cato समाधान
हमारे ग्राहकों की रक्षा के दृष्टिकोण में, Cato ने निम्नलिखित कदम उठाए हैं:
- वैश्विक रूप से एक सेट अतिक्रमण रोकथाम प्रणाली (IPS) हस्ताक्षरों को इस कमजोरियों की खतरे को कम करने के लिए लागू किया।
- यदि आपने Cato IPS सक्षम किया है, तो आप इस शोषण से सुरक्षित हैं और कोई मैनुअल कॉन्फ़िगरेशन परिवर्तन (या IPS हस्ताक्षर डेटाबेस का अद्यतन) की आवश्यकता नहीं है। हालाँकि, हम आपको स्रोत पर शोषण को कम करने के लिए विक्रेता की सलाह का पालन करने की सलाह देते हैं।
- यदि ऐसा गैर-एन्क्रिप्टेड दुर्भावनापूर्ण ट्रैफ़िक पहचाना जाता है जो CVE-2021-1675 या CVE-2021-34527 हस्ताक्षर प्रोफाइल के अनुरूप होता है, तो इस ट्रैफ़िक को ब्लॉक कर दिया जाएगा और इवेंट्स की खोज विंडो के भीतर Cato प्रबंधन अनुप्रयोग के भीतर साक्ष्य की एक रिकॉर्ड बन जाएगी।
नोट: यह अनुशंसा की जाती है कि Microsoft सुरक्षा विज्ञप्ति का पालन करें और इस भेद्यता को संबोधित करने के लिए एक Microsoft पैच जारी होने तक प्रभावित प्लेटफ़ॉर्म्स पर प्रिंट स्पूलर सेवा को निष्क्रिय करें।
इसके अतिरिक्त, हम Cato में अनुशंसा करते हैं कि आप हमेशा अपने सिस्टम को Microsoft के नवीनतम सुरक्षा अपडेट और विक्रेता के शमन रणनीतियों के साथ पैच रखें। यह Microsoft उत्पादों के साथ उत्पन्न हो सकने वाले किसी भी अतिरिक्त भेद्यता को कम करने में मदद कर सकता है।
0 टिप्पणियां
कृपया टिप्पणी करने के लिए साइन इन करें करें.