باگ بحرانی Spooler چاپگر به مهاجمان اجازه می‌دهد هرنسخه ای از مایکروسافت ویندوز را هک نمایند!

وصله روز سه شنبه‌ی ماه جولای مایکروسافت 11 بیا‌نیه‌ی امنیتی را ارائه می‌دهد.این وصله که تقریبا 50 حفره امنیتی را برطرف می‌کند دارای 6 باگ بحرانی است.

وصله روز سه شنبه‌ی ماه  جولای مایکروسافت 11 بیا‌نیه‌ی امنیتی را ارائه می‌دهد.این وصله که تقریبا 50 حفره امنیتی را برطرف می‌کند دارای 6 باگ بحرانی  است.
این شرکت یک نقص امنیتی را به سرویس  spoolerچاپگر ویندوز وصله کرده است که روی تمامی نسخه های تحت پشتیبانی ویندوز که تاکنون منتشرشده‌اند تاثیر می‌گذارد‌ که اگر مورد سوء استفاده قرار گیرد می‌تواند به مهاجمان اجازه دهد تا با یک مکانیزم ساده کنترل دستگاه را به دست گیرند.
نقص “بحرانی” (CVE- 2016-3238 ) در واقع در مسیر نصب و راه اندازی درایورهای چاپگر توسط ویندوز و همچنین مسیر اتصال کاربران نهایی به چاپگر مستقرمی شود.
مایکروسافت در بیانیه امنیتی  MS16-087 که در روز سه شنبه منتشر شد گفت: این نقص  می‌تواند به مهاجمان اجازه نصب یک بدافزار از راه دور بر روی سیستم هدف برای مشاهده، تغییر، پاک کردن اطلاعات یا ایجاد حساب کاربری با حقوق کامل کاربر را بدهد.
کاربرانی که با حقوق کاربری محدودتر به سیستم  وارد می شوند نسبت به کاربرانی که با حقوق کاربری مدیریتی کار می‌کنند مانند بعضی حساب های کاربری خانگی یا کاربران سرورها ،کمتر تحت تاثیر واقع می‌شوند.
مایکروسافت گفت : این نقص بحرانی می تواند اجازه‌ی اجرای کد از راه دور را به مهاجمان بدهد اگر مهاجم بتواند یک  حمله  مرد میانی(MITM) را بر روی سیستم یا سرور چاپگر اجراکند یا یک سرور چاپگر جعلی را بر روی شبکه هدف نصب کند.
این نقص امنیتی توسط محققان شرکت Vectra Networks کشف و برملا شد.آن‌ها جزئیاتی از این آسیب پذیری را فاش کردند اما کد اثبات این مفهوم را منتشر نکردند.
در شبکه های شرکتی، مدیران شبکه به صورت پیش فرض  به چاپگرها اجازه می دهند تا درایورهای لازم را به ایستگاه ‌‌های کاری یا کامپیوترهای متصل به شبکه ارائه دهند.این درایورها در سکوت و بدون تعامل با کاربر نصب می شوند و با حق دسترسی کامل کاربر اجرا می شوند.
بنا به گفته‌ی محققان، مهاجمان می‌توانند این درایورها را در چاپگر با فایل های مخرب ، که به آن‌ها اجازه‌ی اجرای کد دلخواه‌شان  را می‌دهد جایگزین کنند.
مسئله نگران کننده تر این است که اگر چاپگر در پشت یک فایروال قرارداشته باشد،مهاجمان می‌توانند دستگاه یا کامپیوترهای دیگر آن شبکه خاص را هک کنند و از آن‌ها به عنوان میزبانی برای فایل های مخرب شان استفاده کنند.

حملات Watering Hole از طریق چاپگرها

همانند سرورها،چندین کامپیوتر نیز در تلاش برای چاپ اسناد و دانلود درایورها به چاپگر متصل می‌شوند، بنابراین این نقص ، اجازه‌ی حمله  Watering Hole را به صورت فنی از طریق چاپگرها می‌دهد.

حملات  Watering Holeیا Drive-by Download با هدف آلوده کردن شرکت‌ها و سازمان‌ها به بدافزار برای دسترسی به شبکه آن‌ها استفاده می‌شود.

مامور ارشد امنیتی Vectra،گانتر اولمان گفت: یک مهاجم به جای آلوده کردن سیستم کاربران به صورت جداگانه، می‌تواند یک چاپگر را وارد Watering Hole  نماید که هردستگاه ویندوزی مرتبط با آن را آلوده می‌کند.

هرشخصی که به چاپگر متصل است درایور مخرب با او به اشتراک گذاشته می‌شود که این اتفاق بردار حمله را از یک دستگاه فیزیکی به هر دستگاه شبکه که قادر به میزبانی یک تصویر چاپگر مجازی باشد منتقل می نماید.

نقص  CVE- 2016-323 خطرناک ترین آسیب پذیری سال است ، که بسیار ساده اجرا می‌شود ، راه‌‌ های آغاز حملات متفاوتی را فراهم می‌کند و تعداد زیادی از کاربران را تحت تاثیر قرار می‌دهد.

دومین آسیب پذیری مرتبط ،  CVE-2016-3239، در بیانیه‌ی  MS16-08، یک نقص ارتقا امتیاز است که می‌تواند به مهاجمان اجازه نوشتن در سامانه پرونده‌ای را بدهد.

بیانیه امنیتی دیگر مایکروسافت ، MS16-088، شامل وصله هایی برای هفت آسیب پذیری اجرای کد از راه دور(RCE) است که      6 مورد از آن‌ها نقایص خرابی حافظه هستند که Microsoft Office، SharePoint Server  و نیز Office Web Apps را تحت تاثیر قرار داده‌اند.

این نقایص می‌توانند به وسیله‌ی فایل‌های خاص آفیس، به مهاجمان اجازه‌ی اجرای کد دلخواه با همان امتیاز کاربر وارد شده را بدهند.

بیانیه MS16-084  نقایص موجود در مرورگر Internet Explorer و بیانیه MS16-085 نقایص موجود درمرورگر Edge را ارائه می‌دهد. نقایص موجود در مرورگر Internet Explorer شامل  RCE،امتیاز ارتقا،افشای اطلاعات و  باگ‌های جانبی امنیتی است.

نقایص مرورگر Edge شامل تعداد انگشت شماری RCE ، نقایص خرابی حافظه در موتور چاکرا  جاوا اسکریپت و همچنین گذرگاه ASLR، افشای اطلاعات، خرابی حافظه‌ی مرورگر و باگ‌های جعل  ]اطلاعات[ است.

بیانیه  MS16-086 آسیب پذیری در موتورهای Jscript و VBScript در ویندوز را بیان می‌کند که می تواند به مهاجم اجازه‌ی اجرای کد از راه دور را بدهد که VBScript 5.7 و  JScript 5.8را تحت تاثیر قرار می‌دهد.

5 بیانیه‌ی باقیمانده به نقایص آدرس دهی مهمی در  Windows Secure Kernel Mode،  Windows Kernel-Mode Drivers،the .NET framework،the Windows Kernel و Secure Boot process می پردازند.

 

 منبع

کلمات کلیدی