لا تزال هجمات تنفيذ التعليمات البرمجية ممكنة حتى بعد تثبيت الإصلاح...
قال باحثون إن تصحيحاً للطوارئ أصدرته Microsoft يوم الثلاثاء أخفق في إصلاح ثغرة أمنية حرجة بشكل كامل في جميع الإصدارات المدعومة من Windows والتي تسمح للمهاجمين بالسيطرة على الأنظمة المصابة وتشغيل التعليمات البرمجية التي يختارونها.
ينبع التهديد ، المعروف بالعامية باسم PrintNightmare ، من الأخطاء الموجودة في التخزين المؤقت للطباعة في Windows ، والذي يوفر وظائف الطباعة داخل الشبكات المحلية. تم إصدار رمز إستغلال إثبات المفهوم علناً ثم تم سحبه ، ولكن ليس قبل أن يقوم الآخرون بنسخه. يتتبع الباحثون الثغرة الأمنية مثل CVE-2021-34527.
صفقة كبرى:
يمكن للمهاجمين إستغلالها عن بُعد عندما تتعرض إمكانيات الطباعة للإنترنت. يمكن للمهاجمين أيضاً إستخدامه لتصعيد إمتيازات النظام بمجرد إستخدامهم لثغرة أمنية مختلفة للحصول على قبضة داخل شبكة ضعيفة. في كلتا الحالتين ، يمكن للخصوم بعد ذلك التحكم في وحدة التحكم بالمجال ، والتي تعد ، باعتبارها الخادم الذي يصادق على المستخدمين المحليين ، أحد أكثر الأصول حساسية للأمان على أي شبكة Windows.
قال ويل دورمان ، كبير محللي الثغرات الأمنية في مركز تنسيق CERT ، وهو مشروع غير ربحي ممول إتحادياً بالولايات المتحدة يبحث في أخطاء البرامج ويعمل مع الشركات والحكومة لتحسين الأمان. "في أي وقت يكون هناك رمز إستغلال عام لثغرة أمنية غير مصححة يمكن أن تعرض وحدة تحكم مجال Windows للخطر ، فهذه أخبار سيئة".
بعد ظهور خطورة الخطأ ، نشرت Microsoft إصلاحاً خارج النطاق يوم الثلاثاء. قالت Microsoft إن التحديث "يعالج بشكل كامل الثغرة الأمنية العامة". ولكن يوم الأربعاء - بعد أكثر من 12 ساعة بقليل من الإصدار - أظهر أحد الباحثين كيف يمكن لبرامج إستغلال الثغرات تجاوز التصحيح.
كتب بنجامين ديلبي ، مطور أداة القرصنة والشبكات Mimikatz وبرامج أخرى ، على تويتر: "التعامل مع السلاسل وأسماء الملفات أمر صعب".
كان مصاحباً لتغريدة Delpy عبارة عن مقطع فيديو أظهر إستغلالاً مكتوباً على عجل يعمل ضد Windows Server 2019 الذي قام بتثبيت التصحيح خارج النطاق. يُظهر العرض التوضيحي أن التحديث فشل في إصلاح الأنظمة الضعيفة التي تستخدم إعدادات معينة لميزة تسمى النقطة والطباعة ، مما يسهل على مستخدمي الشبكة الحصول على برامج تشغيل الطابعة التي يحتاجونها.
تم دفن ما يلي بالقرب من الجزء السفلي من إرشادات Microsoft إعتباراً من يوم الثلاثاء: "لا ترتبط Point and Print إرتباطاً مباشراً بهذه الثغرة الأمنية ، لكن التكنولوجيا تضعف الموقف الأمني المحلي بطريقة تجعل الإستغلال ممكناً".
مأساة الزلات:
التصحيح غير المكتمل هو أحدث خطأ يتضمن ثغرة PrintNightmare. في الشهر الماضي ، قامت مجموعة التصحيح الشهرية من Microsoft بإصلاح CVE-2021-1675 ، وهو خطأ في التخزين المؤقت للطباعة سمح للقراصنة الذين لديهم حقوق نظام محدودة على الجهاز بتصعيد الإمتياز إلى المسؤول. عزت Microsoft الفضل إلى Zhipeng Huo من Tencent Security و Piotr Madej من Afine و Yunhai Zhang من Nsfocus باكتشاف الخلل والإبلاغ عنه.
بعد بضعة أسابيع ، قام باحثان مختلفان - Zhiniang Peng و Xuefeng Li من Sangfor - بنشر تحليل CVE-2021-1675 الذي أظهر أنه يمكن إستغلاله ليس فقط من أجل تصعيد الإمتياز ، ولكن أيضاً لتحقيق تنفيذ التعليمات البرمجية عن بُعد. أطلق الباحثون على مآثرهم PrintNightmare.
في النهاية ، قرر الباحثون أن PrintNightmare إستغل ثغرة أمنية مشابهة (ولكنها مختلفة في النهاية) CVE-2021-1675. قام Zhiniang Peng و Xuefeng Li بإزالة إستغلال إثبات المفهوم الخاص بهم عندما علموا بالإرتباك ، ولكن بحلول ذلك الوقت ، كان إستغلالهم قد إنتشر بالفعل على نطاق واسع. يوجد حالياً ما لا يقل عن ثلاث عمليات إستغلال PoC متاحة للجمهور ، وبعضها يتمتع بقدرات تتجاوز بكثير ما سمح به الإستغلال الأولي.
يحمي الإصلاح من Microsoft خوادم Windows التي تم إعدادها كوحدات تحكم بالمجال أو أجهزة Windows 10 التي تستخدم الإعدادات الإفتراضية. يُظهر العرض التوضيحي يوم الأربعاء من Delpy أن PrintNightmare يعمل ضد نطاق أوسع بكثير من الأنظمة ، بما في ذلك تلك التي مكنت Point and Print وحدد خيار NoWarningNoElevationOnInstall. نفذ الباحث الإستغلال في ميميكاتز.
أوراق الإعتماد ستكون مطلوبة:
إلى جانب محاولة إغلاق ثغرة تنفيذ التعليمات البرمجية ، فإن الإصلاح الذي تم إجراؤه يوم الثلاثاء لـ CVE-2021-34527 يثبت أيضاً آلية جديدة تسمح لمسؤولي Windows بتنفيذ قيود أقوى عندما يحاول المستخدمون تثبيت برنامج الطابعة.
"قبل تثبيت 6 جويلية 2021 ، وتحديثات Windows الأحدث التي تحتوي على حماية CVE-2021-34527 ، يمكن لمجموعة أمان مشغلي الطابعة تثبيت برامج تشغيل الطابعة الموقعة وغير الموقعة على خادم الطابعة" ، حسبما ذكر أحد الإستشارات من Microsoft . "بعد تثبيت هذه التحديثات ، يمكن لمجموعات الإدارة المفوضة مثل مشغلي الطابعة تثبيت برامج تشغيل الطابعة الموقعة فقط. ستكون بيانات إعتماد المسؤول مطلوبة لتثبيت برامج تشغيل الطابعة غير الموقعة على خادم الطابعة من الآن فصاعداً".
على الرغم من أن التصحيح خارج النطاق الذي تم إصداره يوم الثلاثاء غير مكتمل ، إلا أنه لا يزال يوفر حماية ذات مغزى ضد العديد من أنواع الهجمات التي تستغل ضعف التخزين المؤقت للطباعة. حتى الآن ، لا توجد حالات معروفة للباحثين يقولون إنها تعرض الأنظمة للخطر. ما لم يتغير ذلك ، يجب على مستخدمي Windows تثبيت كل من التصحيح من جوان ويوم الثلاثاء وانتظار المزيد من الإرشادات من Microsoft. لم يكن لدى ممثلي الشركة تعليق على هذا المنشور على الفور.
