PrintNightmare 0-Day

1 Temmuz 2021 tarihinde Windows sistemleri etkileyen henüz güncellemesi yayınlanmamış bir 0-day tespit edildi.

PrintNightmare adı verilen güvenlik açığı sayesinde saldırganlar Windows Domain Server’da authentication yapmadan serverı ele geçirebiliyor ve uzaktan komut yürütebiliyorlar (RCE).

Güvenlik zafiyeti Windows Print Spooler’dan kaynaklanmaktadır. Siber güvenlik araştırmacıları en güncel sürüm ile kullanılan Serverlarda PoC gerçekleştirmiş olup hedef sistemde “SYSTEM” yetkileri ile komut çalıştırabilmişlerdir, bu durum Windows güncellemelerinin bu zafiyeti engellemediğinin bir kanıtı olarak görülmüştür.

CVE-2021-1675 olarak izlenen güvenlik açığı Windows tarafından ilk önce yüksek önem derecesine sahip bir yetki yükseltme saldırısı olarak belirlendi ve 8 Haziran 2021 tarihinde bu güvenlik açığı için bir yama yayınlandı. Ancak 21 Haziran tarihinde Windows yaptığı açıklamayı Kritik önem derecesi ve uzaktan komut yürütme (RCE) olarak güncelledi.

Öneriler

Windows tarafından herhangi bir güvenlik güncellemesi yapılmadığı için mutlaka “Print Spooler” devre dışı bırakılmalı ya da Print Service’ler tamamen kaldırılmalıdır.

Bu servisi devre dışı bırakmak için şu yol izlenebilir,

“Computer Configuration -> Administrative Templates -> Printers -> Allow Print Spooler to accept client connections -> Disabled”

Yukarıda ki yol bu servisi devre dışı bırakma yollarından biri olup birden fazla yol mevcuttur. Bunlar https://github.com/LaresLLC/CVE-2021-1675 adresinden tespit edilebilir. Sistemlerinizi gerekli önlemleri uygulamadan önce yedeklemeli ve önce test bir sunucu üzerinde yapmalısınız.

Referans

•    https://github.com/LaresLLC/CVE-2021-1675

•    https://www.bleepingcomputer.com/news/security/public-windows-printnightmare-0-day-exploit-allows-domain-takeover/