▪️ مایکروسافت در سایت رسمی خود اعلام کرد که آسیب پذیری CVE-2021-1675 در آخرین آپدیت ماه جون 2021 پچ شده است اما هک جدید سرورهای DC روش جدیدی از نفوذ است که با شناسه CVE-2021-34527 از این پس شناسائی میشود. این دو روش هک شبیه هم هستند اما در ابعاد فنی متفاوت میباشند .
آپدیت های اضطراری برای آسیب پذیری CVE-2021-34527 در لینک زیر منتشر شده است :
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527
بعد از گذشت 10 روز از کشف آسیب پذیری PrintNightmare، کدام آنتی ویروس ها میتوانند این نوع حملات را شناسائی و مسدود نمایند ؟!
ESET, Kaspersky, Bitdefender, McAfee, Symantec ؟!!
printnightmare_tests_f3047622c.html
‼️ تا قبل از نصب وصله های فوق تنها توصیه امنیتی برای جلوگیری از حملات PrintNightmare غیر فعال کردن سرویس Print Spooler در سرورهای DC و سیستم های حساس است.
‼️ چرا این نوع آسیب پذیری ها بسیار خطرناک است ؟ حتی اگر DC شما آفلاین هم باشد هکر یا حتی کارمندان شرکت میتوانند با اجرای یک Exploit ساده، کنترل کامل DC را از طریق یک سیستم (با حداقل دسترسی) بدست گیرند.
‼️ مایکروسافت : آپدیت های اضطراری PrintNightmare نقصی ندارد ! ادمین ها پالیسی Point and Print Restrictions را محدود نمایند.
▪️ بعد از انتشار وصله اضطراری CVE-2021-34527 در تاریخ 6 جولای، محققین امنیتی اعلام کردند در برخی شرایط همچنان قابلیت هک شدن ویندوزها وجود دارد.
▪️ مایکروسافت هم لینک زیر اعلام کرد مدیران شبکه دقت کنند بعد از نصب وصله مربوطه، پالیسی Point and Print Restrictions را به درستی تنظیم کرده باشند :
https://support.microsoft.com/topic/31b91c02-05bc-4ada-a7ea-183b129578a7
▪️ طبق اعلام مایکروسافت بعد از نصب پچ های اضطراری CVE-2021-34527 در صورتی که پالیسی Point and Print Restrictions روی Show warning and elevation prompt تنظیم باشد دیگر سیستم ها و سرورها قابل هک شدن نخواهند بود. اگر این پالیسی در Group Policy شما تعریف نشده باشد نیز سیستم ها و سرورها صرفا با نصب پچ های PrintNightmare ایمن خواهند بود.
▪️ روش تشخیص از رجیستری: در مسیر
HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows NTPrintersPointAndPrint
کلید های NoWarningNoElevationOnInstall و UpdatePromptSettings باید مقدار 0 داشته باشند یا اصلا وجود نداشته باشند.
چگونه آسیب پذیری PrintNightmare را روی DC با ESET HIPS بدون غیر فعال کردن سرویس Print Spooler مسدود نمائیم ؟
▪️ شما میتوانید با اضافه کردن یک HIPS Rule در پالیسی Anti-Ransomware for Server FileSecurity HIPS نوشتن فایل ها در مسیر
C: -> Windows -> System32 -> spool -> drivers
-> *
را محدود کنید تا این کار تنها با اجازه شما انجام شود. با این روش حتی بدون غیر فعال کردن سرویس Print Spooler میتوانید آسیب پذیری PrintNightmare را تا ارائه پچ توسط مایکروسافت تا حد زیادی خنثی نمائید.
▪️ تست صحت HIPS Rule: به مسیر فوق بروید و سعی کنید فایلی در آنجا کپی کنید ! گزارش های این Rule در کنسول هم با عنوان HIPS Get access to file برای شما گزارش خواهد شد.
وصله های آسیب پذیری روز صفر PrintNightmare بدون ESU روی ویندوزهای 7 و 2008R2 نصب نخواهند شد !!
▪️ همانطور که میدانید پشتیبانی از ویندوزهای 7 و 2008R2 در تاریخ 14 ژانویه 2020 به پایان رسیده و حال مایکروسافت با دریافت هزینه اضافه لایسنس Extended Security Updates را به مشتریان این ویندوزها میفروشد.
▪️ لذا آپدیت های آسیب پذیری های جدید همانند PrintNightmare بر روی ویندوزهای 7 و 2008R2 به راحتی نصب نخواهد شد و شما حتما باید راهی برای دور زدن ESU بیندیشید. روش های کرک ESU در اینترنت موجود است که کامیران هیچ یک را تائید نمیکند. معروف ترین آن روش کرک My Digital Life است :
https://forums.mydigitallife.net/threads/bypass-windows-7-extended-security-updates-eligibility.80606
▪️ در این شرایط در ویندوز های 7 و 2008R2 با داشتن آسیب پذیری های حیاتی مثل ZeroLogon و PrintNightmare مفهومی به نام امنیت وجود نخواهد داشت.
▪️ فعلا مدیران شبکه گرامی میتوانند با ESET IDS مقابلZeroLogon و با کانفیگ ESET HIPS مقابل PrintNightmare مقاومت کنند اما تا کجا ؟! لذا اکیدا توصیه میشود فرایند مهاجرت به ویندوز های جدید را تسریع نمائید.
▪️ برای اطلاع از اخبار امنیتی حتما در کانال تلگرام @KamiranChannel عضو شوید و یا برای دریافت اخبار مهم از طریق واتساپ عدد 11 را به شماره 09302700800 واتساپ نمائید.
▪️ در صورت وجود هر گونه سوال در این خصوص با مرکز پشتیبانی کامیران با شماره 02147251 ، تلگرام @KamiranSupport یا واتساپ 09332050007 ارتباط برقرار نمائید.
با تشكر
لابراتوآر ویروس شناسی شركت مهندسي كاميران
__________________________________________