جزئیات فنی و کد اثبات مفهوم یک آسیب‌پذیری روز صفر ویندوز اشتباهاً به طور عمومی منتشر شد. این آسیب‌پذیری وصله نشده می‌تواند منجر به اجرای کد از راه دور شود.

با وجود اینکه سوء استفاده از این باگ نیازمند احراز هویت است، از رده باگ‌های بحرانی به حساب می‌آید زیرا مهاجمان با کمک آن می‌توانند کنترل یک دامین سرور ویندوز را به دست بگیرند و به راحتی بدافزارهایی را در سراسر شبکه پخش کنند. این آسیب‌پذیری، Windows Print Spooler را تحت تأثیر قرار می‌دهد. Print spooler سرویسی در سیستم‌عامل ویندوز است که درخواست‌های چاپ ارسال شده به پرینتر یا سرور پرینت را مدیریت می‌کند.

محققان این باگ را «کابوس پرینت» (PrintNightmare) نام‌گذاری کرده‌اند. چند تن از پژوهشگران، کد اثبات مفهوم را روی ویندوز سرور 2019 آزمایش کردند و با وجود اینکه سرور کاملاً وصله شده بود، موفق شدند در قالب کاربر SYSTEM روی سرور کد اجرا کنند.

افشای تصادفی

افشای جزئیات این آسیب‌پذیری به طور اتفاقی و در پی اشتباه گرفتن آن با یک باگ دیگر (CVE-2021-1675) اتفاق افتاد. آسیب‌پذیری CVE-2021-1675 نیز به Print Spooler مربوط می‌شود که در به‌روزرسانی اخیر مایکروسافت وصله شده بود. این باگ ابتدا از سوی مایکروسافت یک باگ ارتقاء دسترسی با حساسیت بالا معرفی شده بود، اما چند هفته بعد، مایکروسافت سطح حساسیت آن را به بحرانی و تأثیر آن را به اجرای کد از راه دور تغییر داد.

این باگ توسط محققان سه شرکت (Tencent، AFINE و NSFOCUS) گزارش شده بود، اما چند تیم مشغول تحلیل Windows Spooler بودند. در 28 ژوئن (7 تیر) شرکت امنیتی چینی QiAnXin اعلام کرد راهی برای بهره‌برداری از این آسیب‌پذیری پیدا کرده است که هم می‌تواند به ارتقاء دسترسی محلی و هم اجرای کد از راه دور منجر شود. آنها در ویدئویی نحوه کار را شرح دادند.

اما یک تیم تحقیقاتی چینی دیگر (از شرکت Sangfor) که روی آسیب‌پذیری کابوس پرینت کار کرده بودند، وقتی ویدئوی نامبرده را دیدند، تصور کردند ویدئو مربوط به همان باگ کابوس پرینت است و تصمیم گرفتند کد بهره‌برداری خود را منتشر کنند.

مقابله با آسیب‌پذیری

شرکت مشاوره امنیتی Lares، مخزنی برای شناسایی و مقابله با این آسیب‌پذیری منتشر کرده است که شامل نمونه‌ای از حمله و یک فایل پیکربندی Sysmon برای سنجش از دور (telemetry) است. همچنین نحوه غیرفعال سازی سرویس spooler هم از طریق تنظیمات Group Policy و هم به وسیله کد پاورشل شرح داده شده است.

کابوس پرینت نقصی جدی به شمار می‌رود و باید مورد توجه قرار گیرد. از آنجا که هنوز وصله‌ای منتشر نشده است، توصیه می‌شود ادمین‌ها حداقل روی سیستم‌های دامین کنترلر، سرویس spooler را غیرفعال کنند، زیرا نیاز به احراز هویت، سد محکمی در برابر حملات نیست.

Jonas Lykkegård محقق امنیتی می‌گوید احتمال دارد مهاجمان، به خصوص باج‌گیران سایبری بخواهند از این فرصت استفاده کنند، زیرا به دست آوردن اعتبارنامه کاربران با دسترسی محدود، کار آسانی است.

در محیط‌هایی که نقص ارتقاء دسترسی وجود دارد، اطلاعات حساب‌های کاربری با دسترسی محدود برای تبهکاران بسیار باارزش است و برای این اطلاعات بازاری نیز ایجاد شده است. در بعضی انجمن‌های زیرزمینی یک نام کاربری و گذرواژه ریموت دسکتاپ ویندوز با قیمتی بین 3 تا 70 دلار به فروش می‌رسد.