2021 PrintnightMare güvenlik açığı, Microsoft’un temel bir Windows bileşeni olan Baskı Makarısı Servisi’ndeki çoklu köklü güvenlik kusurlarını ortaya çıkardı. Yıllarca basılı makarada devam eden kusurlar, Microsoft’u hizmetin varsayılan davranışını değiştirmeye zorladı ve kuruluşlar kullanıcılar için baskı hizmetlerini etkinleştirme biçimlerini değiştirmeye zorladı. Microsoft’un değişiklikleri genel olarak geliştirilmiş baskı makarasının güvenliğine sahip olsa da, araştırmacılar hizmetin hala saldırganlar için ana hedef olmaya devam ettiğini söyledi. Microsoft’un eski kodu ile geriye dönük uyumluluğu koruma çabalarından kaynaklanan potansiyel zayıflıklar, basılı makarayı savunmasız bırakıyor.
Kritik bir güvenlik zayıflığı
PrintnightMare (CVE-2021-34527) Saldırganlara, etki alanı denetleyicileri ve Active Directory sistemlerinden alt uç sunuculara ve istemci sistemlerine kadar her şeyi içeren etkilenen sistemlerde sistem seviyesi ayrıcalıkları kazanmanın bir yolu verdi. Kusur, Windows Baskı Makaralı Hizmetinden, yazıcı sürücüsü kurulumlarını uygunsuz bir şekilde işleyerek ve saldırganların keyfi kod çalıştırmasına, kötü amaçlı yazılımları indirmesine, yeni kullanıcı hesapları oluşturmasına veya etkilenen sistemlerle ilgili verileri görüntüleymesine ve silmesine izin verdi.
Güvenlik açığı, hizmetin yazıcı sürücülerinin yüklenmesi için izinleri doğru bir şekilde doğrulamamasından kaynaklandı ve RPC aracılığıyla uzak bağlantıları kabul etme yeteneği ile birlikte. Bu, saldırganların kötü niyetli sürücüleri uzaktan yüklemesine ve minimal ayrıcalıklı hesaplardan bile yüksek ayrıcalıklarla keyfi kod yürütmesine izin verdi. Araştırmacılar, o sırada basılı biriktirici ortamlarının% 90’ından fazlasının PrintnightMare’den etkilendiğini tahmin ettiler. Tehditin saf kapsamı, Microsoft’tan acil çağrılara yol açtı, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) ve diğerleri acil iyileştirme önlemleri uygulamak.
Imgersive Labs baş siber güvenlik mühendisi Ben McCarthy, “PrintnightMare’i izleyen yıllarda, baskı makarası hizmetinin uzak yönünden yararlanan istismarlar olmuştur.” Diyor.
Hizmetin uzaktan erişilebilir olması ve yanal harekete izin vermesi de dahil olmak üzere, durumun böyle olmasının birkaç nedeni var. “Ayrıca, PrintnightMare gibi büyük güvenlik açıkları piyasaya sürüldüğünde, dünyanın dört bir yanındaki bilgisayar korsanlarından, pencerelerin bu bileşeninde daha fazla güvenlik açıkları olabileceğine işaret ediyor” diyor. McCarthy ayrıca Çin’den araştırmacıların raporu Bu, baskı makarnasının nasıl çalıştığının iç kısımlarını, PrintnightMare’in açıklanmasının ardından hizmette birden fazla güvenlik açıkının keşfine katkıda bulunduğunu açıkladı.
Basılı makaralı zayıflıklara benzeri görülmemiş bir dikkat
PrintnightMare güvenlik açığı, Microsoft’un kötü şöhretli buggy baskı makarısı hizmetinin güvenliğine benzeri görülmemiş bir dikkat odaklandı.
Açıklamalarını takip eden haftalar ve aylarda, güvenlik araştırmacıları – birçoğu Microsoft’un kendisinden – sadece 2021’de 11 basılı makara güvenlik açığı verdi. Bu yazış sonrası baskı makarası güvenlik açıklarından ilki CVE-2021-34481Microsoft’un 15 Temmuz 2021’de yamaladığı bir uzaktan kod yürütme güvenlik açığı. Hata, Microsoft’un bir düzeltmesi yapmadan önce açıklandı, ancak sömürülmedi.
CVE-2021-34481, PrintnightMare gibi, Windows Baskı Makarası Hizmetinden kaynaklanan yazıcı sürücü kurulumlarını yanlış kullanarak, saldırganların sistem düzeyinde ayrıcalıklara sahip kötü niyetli sürücüleri yüklemesine izin verdi. Kusur – ve ondan önceki printnightMare – Microsoft’u nokta ve yazdırın varsayılan davranışını değiştirinkullanıcıların ağ yazıcılarına bağlanmasına ve gerekli yazıcı sürücülerini otomatik olarak indirip yüklemesine izin veren bir Windows özelliği. Microsoft, yalnızca yönetim ayrıcalıklarına sahip kullanıcıların yeni yazıcılar yükleyebilmesini veya mevcut yazıcı sürücülerini güncelleyebilmesini sağlamak için varsayılan davranışı değiştirdi.
2021’de keşfedilen diğer baskı makarasıyla ilgili kusurlar CVE-2021-34483; CVE-2021-36936; CVE-2021-36947; CVE-2021-36958; CVE-2021-36970; CVE-2021-38667; CVE-2021-38671; CVE-2021-40447; CVE-2021-1675 Ve CVE-2021-41332.
Tenable kıdemli personel araştırma mühendisi Satnam Narang, Microsoft’un 2021’de açıklandığından, Microsoft’un 53 baskı makarasına bağlı güvenlik açıklarını açıkladığını açıkladı. 2021’de 11’e ek olarak Microsoft, 35’i 2022’de, 2023’te dört ve 2024’te üç tane daha. 2024’te açıklanan üç kişi CVE-2024-21433; CVE-2024-38198; Ve CVE-2024-43529.
Narang, “Bilinen CISA sömürülen güvenlik açıkları (KEV) kataloğu uyarınca, vahşi doğada sömürülen dört basılı makara güvenlik açığı vardı.” Hepsi 2022’den geliyordu: CVE-2022-38028– CVE-2022-41073– CVE-2022-22718 Ve CVE-2022-21999.
Bunların neredeyse yarısı -%45 – Microsoft’taki dahili ekipler tarafından açıklandı. “Bu proaktif ve rahatsız edici yaklaşımın, sömürü yollarının çoğunun hafifletilmesine yol açması muhtemeldir, çünkü bildirilen baskı makarası güvenlik açıklarının sayısında dik bir düşüş gördük [2022]”Narang, Microsoft’un 2023 ve 2024 yıllarında toplamda sadece yedi baskı makarısı güvenlik açığı bildirdiğini söylüyor.
Narang, Microsoft’un 2021’den beri basılı biriktirici hizmetinde tek bir uzaktan kumanda yürütme hatasını – genellikle en şiddetli türü – açıklamadığını belirtti. Bunun yerine, hepsi, saldırganların tipik olarak sadece bir sisteme ilk erişim sağladıktan sonra veya bilgi ifşa kusurlarını kazandıktan sonra yararlanan ayrıcalık hatalarının yükselmesi olmuştur. Narang, PrintnightMare’den bu yana yazılımda güvenlik açıkları bulmaya giden tüm araştırmaların bir sonucu olan olumlu bir gelişme olduğunu söylüyor.
Narang, “Dışarıdaki bir perspektiften bakıldığında, Windows baskılarındaki güvenliği desteklemek için katalizör olduğu anlaşılıyor, bu da saldırganların sömürülmesini giderek zorlaştırıyor.” Diyor.
Kalıcı bir tehdit
Yine de, basılı biriktirici güvenliğini kabul etmek bir hatadır. Eylem 1’in başkanı ve kurucu ortağı Mike Walters, hizmetin Windows işletim sistemindeki karmaşıklığı ve ayrılmaz rolü nedeniyle saldırganlar için büyük bir hedef olmaya devam ediyor. Hizmetin eski kod tabanı ve geriye dönük uyumluluk ihtiyacı da devam eden zorluklar sunmaya devam ediyor.
Hizmetin herhangi bir kullanıcı tarafından uzaktan erişilebilmesi, baskı makarısının saldırganlar için ilgi çekici bir hedef olmasının başka bir nedeni olmasının başka bir nedeni olmasının bir nedeni olmasının bir nedeni. Hizmetteki kusurlar, saldırganlara yanal hareket ve ayrıcalık artışı için bir fırsat veriyor. McCarthy, “Baskı meraklısı servisi, basılı işleri işler ve genellikle geniş bir saldırı yüzeyi getiren işlemler arası ve ağ etkileşimleri için RPC kullanarak yazıcılarla iletişim kurar.” Diyor. “Güvenlik açıkları genellikle kontrolsüz girdilerden, zayıf ACL’lerden ve izinlerin uygunsuz işlenmesinden kaynaklanır, bu da saldırganların keyfi kod yürütmek veya sistem düzeyinde ayrıcalıklar kazanmak için bu mekanizmalardan yararlanmasına izin verir.”
Basılı makaralı güvenlik açıklarına olan sürekli ve devam eden saldırgan ilgisinin dikkate değer bir örneği, Rusya merkezli APT28’in kullanımıdır. CVE-2022-38028 bir ayrıcalık artış ve kimlik bilgisi çalma kampanyası Nisan 2024’te Kuzey Amerika, Avrupa ve Ukrayna hükümet kuruluşlarını hedefleyen. Hizmete geniş araştırmacının ilgisinin bir başka göstergesi, Microsoft’a en az üç baskı makarası güvenlik açıklarını bildiren ABD Ulusal Güvenlik Ajansı (NSA) olduğu gerçeğidir. : CVE-2022-29104– CVE-2023-21678Ve CVE-2022-38028.
Çoğunlukla, Walters’a göre PrintnightMare’den bu yana basılı biriktirici böceklerine yapılan saldırıların çoğu mevcut ve daha önce bilinen saldırı vektörlerinin varyasyonları olmuştur. 2021, 2022, 2023 ve 2024’te keşfedilen güvenlik açıklarının çoğu, benzer güvenlik açıklarından yararlanan ayrıcalık artış veya uzaktan kod yürütme kusurlarıdır. [as] Walters, uygunsuz giriş doğrulaması, yetersiz izin kontrolü ve kötü niyetli sürücüler yükleme yeteneği gibi printnightmare.
Bununla birlikte, Microsoft’un eski kodla geriye dönük uyumluluğu koruma arzusu, şirketi protokol ve işlev işleyicisi tarafındaki basılı makara güvenlik açıklarına hitap etti. Walters, araştırmacıların baskı makarasındaki printnightmare benzeri hatalarda vurmaya devam ettiklerini görmeyi bekliyoruz.
Microsoft’un nokta ve yazdırmada değişiklikleri
Microsoft, yamalar vermenin ve belirli baskı makarısı güvenlik açıkları için azaltma tavsiyesi sunmanın yanı sıra, PrintnightMare’den bu yana baskı makarısı risklerini azaltmak için başka adımlar attı. En önemlilerinden biri, şirketin basılı biriktiriciyle ilişkili nokta ve baskı işlevinin varsayılan davranışında yaptığı değişikliktir. Son kullanıcılar için yazıcıların kurulumunu basitleştirmek için tasarlanan özellik, başlangıçta bir kullanıcının ağ yazıcılarına bağlanmasına ve yönetici ayrıcalıklarına ihtiyaç duymadan gerekli yazıcı sürücülerini otomatik olarak indirip yüklemesine izin verdi. PrintnightMare ve CVE-2021-34481, Microsoft’un ardından Varsayılan davranışı değiştirdi yalnızca yönetim haklarına sahip kullanıcıların yazıcı sürücüsü kurulumu ve güncellemeleri yapabilmesini sağlamak için özelliğin. O zamanlar Microsoft, değişikliğin kuruluşlardaki mevcut uygulamaları bozabileceğini kabul etti. “Ancak, güvenlik riskinin bu değişikliği haklı çıkardığına inanıyoruz” dedi.
Walters, “Microsoft,” ReptictDriverInstallToAdministratörler “kayıt defteri anahtarını ve ilgili grup ilkesi ayarını tanıttı. Etkinleştirildiğinde, yalnızca yöneticilerin yazıcı sürücülerini nokta ve yazdırma yoluyla yükleyebileceğini zorluyor.” Microsoft ayrıca belirli sistemlerde varsayılan olarak gelen uzaktan baskıyı devre dışı bıraktı ve yazıcı sürücülerinin güvenilir bir sertifika otoritesi ve diğerleri tarafından dijital olarak imzalanması gereksinimini güçlendirdi.
Buna ek olarak, Microsoft’un PrintnightMare’den sonra tanıttığı yeni grup ilkesi ayarları, yöneticilerin hangi sunucuların baskı işleri veya sürücüler sunabileceğini sınırlamak da dahil olmak üzere baskı makarası hizmeti üzerinde katı kontroller uygulamasına izin verir, “Gelen uzak uzak baskı gibi belirli özellikleri varsayılan olarak devre dışı bırakma , bu işlevselliğe ihtiyaç duymayan sistemler için saldırı yüzeyini en aza indirmeye yardımcı olur. “
PrintightMare, Microsoft için bir meydan okuma sundu çünkü düzeltmek dünyadaki birçok kuruluşu etkileyen mimari değişiklikler gerektiriyordu. McCarthy, “Birçok sysadmin’i etkileyen en büyük değişiklik, kullanıcıların uzak yazıcılara bağlanma biçiminde değişiklikti.” “Bu gerekli değişiklik, baskı makarısı hizmetinin bu özel bölümünde bulunan daha fazla istismarın saldırganın önce yönetici olmasını gerektireceği anlamına geliyor” diyor.
Azaltma önlemleri
Baskı meraklısı Windows işletim sisteminin bir parçasıdır ve varsayılan olarak, etki alanı denetleyicileri gibi genellikle gerekli olmayan sistemler de dahil olmak üzere birçok sistemde etkinleştirilir. Genellikle ayrıcalıklı bir hizmet olarak çalışır, yani sistem düzeyinde ayrıcalıklara sahip olması, onu saldırganlar için yüksek değerli bir hedef haline getirir. Kuruluşlar, herhangi bir baskı hizmetine ihtiyaç duymazlarsa baskı makarasını devre dışı bırakabilir – bir iş ortamında biraz nadiren bir durum
İş gereksinimleri nedeniyle basılı biriktirici hizmetlerini tamamen devre dışı bırakmak için mücadele eden kuruluşlar için birkaç azaltma önlemi mevcuttur. Walters aşağıdakileri aralarında en etkili olarak listeler:
-
Microsoft tarafından yayınlanan yamaları ve güncellemeleri düzenli olarak yükleyin.
-
Grup ilkesi ayarlarını yalnızca yöneticilerin yazıcı sürücülerini yüklemesine izin verecek şekilde yapılandırın.
-
Gerektiğinde Grup İlkesi aracılığıyla gelen uzaktan baskıyı devre dışı bırakın.
-
Onaylanmış yazıcıları ve yazdırma sunucularını belirtmek için izin verilen listeler kullanın.
-
Baskı Makarası Hizmeti ile ilgili şüpheli etkinlikleri izlemek için güvenlik araçlarını kullanın.
-
Bir uzlaşma durumunda yanal hareketi önlemek için baskı sunucularını kritik sistemlerden izole edin.
-
Yetkisiz kod yürütülmesini önlemek için uç nokta kontrollerini dağıtın.
Ayrıca Güvenlik İdaresi’nin ağ erişimini, basılı sunucularla segment ağlarını kısıtlamasını ve baskı makarısı için SMB üzerinden güvenli RPC’yi etkinleştirmesini önerir. Walters Not, eski protokolleri ve SMBV1 gibi özellikleri devre dışı bırakmayı ve güçlü kimlik doğrulama mekanizmalarını uygulamayı düşünün.
Tenable’dan Narang, “Basılı makaralı hizmetlerin devre dışı bırakılmasının bütünüyle mümkün olmadığı açıktır.” Diyerek şöyle devam etti: “Ancak, PrintnightMare için Temmuz 2021 bant dışı sürümünde belirtilenler gibi değişiklikleri içeren güvenlik güncellemelerinin uygulanmasını sağlamak, bu saldırılara karşı korumanın en iyi yoludur.”