كيفية التخفيف من ضعف برنامج Microsoft Print Spooler – PrintNightmare

هذا الأسبوع، طباعة كابوس – تمت ترقية ثغرة Microsoft Print Spooler (CVE-2021-34527) من الأهمية “المنخفضة” إلى الحرجة “الحرجة”.

هذا بسبب إثبات المفهوم المنشور على GitHub ، والذي يمكن للمهاجمين استغلاله للوصول إلى وحدات التحكم بالمجال.

مثلنا ذكرت في وقت سابق، أصدرت Microsoft بالفعل تصحيحًا في يونيو 2021 ، لكن هذا لم يكن كافيًا لوقف الثغرات. لا يزال بإمكان المهاجمين استخدام Print Spooler عند الاتصال عن بُعد. يمكنك العثور على كل ما تحتاج لمعرفته حول هذه الثغرة الأمنية في هذه المقالة وكيف يمكنك (ويمكنك) التخفيف منها.

طباعة التخزين المؤقت باختصار: Print Spooler هي خدمة Microsoft لإدارة ومراقبة طباعة الملفات. هذه الخدمة هي من بين أقدم خدمات Microsoft ولديها الحد الأدنى من تحديثات الصيانة منذ إصدارها.

يتم تمكين هذه الميزة افتراضيًا في كل جهاز من أجهزة Microsoft (الخوادم ونقاط النهاية).

ثغرة الكابوس: بمجرد حصول المهاجم على وصول محدود للمستخدم إلى الشبكة ، سيكون قادرًا على الاتصال (مباشرة أو عن بُعد) بالمخزن المؤقت للطباعة. نظرًا لأن التخزين المؤقت للطباعة لديه وصول مباشر إلى kernel ، يمكن للمهاجم استخدامه للوصول إلى نظام التشغيل ، وتنفيذ التعليمات البرمجية عن بُعد بامتيازات النظام ، وفي النهاية مهاجمة وحدة التحكم بالمجال.

أفضل خيار لك للتخفيف من ثغرة PrintNightmare هو تعطيل التخزين المؤقت للطباعة على كل خادم و / أو محطة عمل حساسة (مثل محطات عمل المسؤول ومحطات العمل ذات الوصول المباشر إلى الإنترنت ومحطات العمل بدون طباعة).

هذا ما Dvir Goren ، خبير في الصلابة و CTO في حلول برمجية CalCom، يقترح أن خطوتك الأولى نحو التخفيف.

اتبع هذه الخطوات لتعطيل خدمة Print Spooler على نظام التشغيل Windows 10:

1. افتح قائمة ابدأ.
2. ابحث عن PowerShell ، وانقر فوقه بزر الماوس الأيمن وحدد تشغيل كمسؤول.
3. اكتب الأمر واضغط على Enter: إيقاف الخدمة -اسم التخزين المؤقت -القوة
4. استخدم هذا الأمر لمنع الخدمة من إعادة التشغيل عند إعادة التشغيل: Set-Service -Name Spooler -StartupType Disabled

في تجربة Dvir ، 90٪ من الخوادم لا تتطلب Print Spooler. هذا هو الإعداد الافتراضي لمعظمهم ، لذلك يتم تمكينه عادةً. ونتيجة لذلك ، فإن إيقاف تشغيله يمكن أن يحل 90٪ من مشكلتك ويكون له تأثير ضئيل على الإنتاج.

في البنى التحتية الكبيرة والمعقدة ، قد يكون من الصعب تحديد مكان استخدام Print Spooler.

فيما يلي بعض الأمثلة التي تتطلب Print Spooler:

1. عند استخدام خدمات Citrix ،
2. خوادم الفاكس ،
3. أي تطبيق يتطلب طباعة افتراضية أو فعلية لملفات PDF و XPS وما إلى ذلك. خدمات الفواتير وطلبات الرواتب ، على سبيل المثال.

فيما يلي بعض الأمثلة عندما لا تكون هناك حاجة إلى التخزين المؤقت للطباعة ولكن يتم تمكينه افتراضيًا:

1. وحدة تحكم المجال والدليل النشط – يمكن تحييد الخطر الرئيسي لهذه الثغرة الأمنية من خلال ممارسة النظافة الإلكترونية الأساسية. لا معنى لتمكين التخزين المؤقت للطباعة في وحدات تحكم المجال وخوادم AD.
2. خوادم الأعضاء مثل SQL ونظام الملفات وخوادم Exchange.
3. الآلات التي لا تتطلب طباعة.

فيما يلي بعض خطوات التقوية الأخرى التي اقترحها Dvir للأجهزة المعتمدة على Print Spooler:

1. استبدل بروتوكول Print Spooler المعرض للهجوم بخدمة غير تابعة لـ Microsoft.
2. من خلال تعديل “السماح للمخزن المؤقت للطباعة بقبول اتصالات العميل” ، يمكنك تقييد وصول المستخدم وبرنامج التشغيل إلى التخزين المؤقت للطباعة على المجموعات التي تحتاج إلى استخدامه.
3. قم بتعطيل برنامج استدعاء التخزين المؤقت للطباعة في مجموعة توافق Pre-Windows 2000.
4. تأكد من عدم تعيين Point and Print إلى No Warning – تحقق من مفتاح التسجيل SOFTWARE / Policies / Microsoft / Windows NT / Printers / PointAndPrint / NoElevationOnInstall لقيمة DWORD 1.
5. قم بتعطيل EnableLUA – تحقق من مفتاح التسجيل SOFTWARE / Microsoft / Windows / CurrentVersion / Policies / System / EnableLUA لقيمة DWORD 0.

إليك ما عليك القيام به بعد ذلك للتأكد من أن مؤسستك آمنة:

1. حدد مكان استخدام Print Spooler على شبكتك.
2. قم بتعيين شبكتك للعثور على الأجهزة التي يجب أن تستخدم Print Spooler.
3. قم بتعطيل التخزين المؤقت للطباعة على الأجهزة التي لا تستخدمها.
4. بالنسبة للأجهزة التي تتطلب Print Spooler ، قم بتكوينها لتقليل سطح الهجوم الخاص بها.

بجانب ذلك ، للعثور على دليل محتمل على الاستغلال ، يجب عليك أيضًا مراقبة إدخالات سجل Microsoft-Windows-PrintService / Admin. قد تكون هناك إدخالات بها رسائل خطأ تشير إلى أن التخزين المؤقت للطباعة لا يمكنه تحميل وحدات DLL للوحدة الإضافية ، على الرغم من أن هذا قد يحدث أيضًا إذا قام المهاجم بتجميع DLL شرعي مطلوب بواسطة التخزين المؤقت للطباعة.

توصية Dvir النهائية هي تنفيذ هذه التوصيات من خلال تصلب أدوات الأتمتة. بدون الأتمتة ، ستقضي ساعات لا حصر لها في محاولة الصلابة يدويًا وقد ينتهي بك الأمر إلى الضعف أو تعطل الأنظمة.

بعد اختيار مسار العمل الخاص بك ، أ أداة المعالجة الآلية سوف يكتشف أين يتم تمكين Print Spooler ، حيث يتم استخدامها بالفعل ، ويعطلها أو يعيد تكوينها تلقائيًا.