مقدمة
لكل مايكروسوفت، "توجد ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد عندما تقوم خدمة Windows Print Spooler بإجراء عمليات الملفات المميزة بشكل غير صحيح. يمكن للمهاجم الذي نجح في استغلال مشكلة عدم الحصانة هذه تشغيل تعليمات برمجية عشوائية بامتيازات النظام. ويمكن للمهاجم بعد ذلك تثبيت البرامج؛ عرض البيانات أو تغييرها أو حذفها؛ أو إنشاء حسابات جديدة تتمتع بحقوق المستخدم الكاملة“.
لفهم ثغرة PrintNightmare بشكل أفضل (أو أي ثغرة أمنية)، يجب أن تعتاد على البحث عن الثغرات الأمنية من خلال قراءة مقالات Microsoft على أي برنامج خاص بنظام Windows مكافحة التطرف العنيف أو تصفح الإنترنت بحثًا عن منشورات المجتمع والبائعين.
لقد كان هناك بعض الالتباس إذا كان CVE-2021-1675 و CVE-2021-34527 ترتبط ببعضها البعض. يذهبون تحت نفس الاسم: ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد للتخزين المؤقت لطباعة Windows وكلاهما متعلق ب التخزين المؤقت للطباعة.
مثل مايكروسوفت تنص الأسئلة الشائعة على ثغرة PrintNightmare (CVE-2021-34527) "مشابهة ولكنها مختلفة عن الثغرة الأمنية التي تم تعيينها لـ CVE-2021-1675. ناقل الهجوم مختلف أيضًا. "
ماذا تقصد مايكروسوفت بناقل الهجوم؟ للإجابة على هذا السؤال، دعونا ننظر في الاختلافات بين هاتين الثغرتين ونلحق الجدول الزمني للأحداث.
لكل مايكروسوفت تعريف، ثغرة PrintNightmare هي "توجد ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد عندما تقوم خدمة Windows Print Spooler بإجراء عمليات الملفات المميزة بشكل غير صحيح. يمكن للمهاجم الذي نجح في استغلال هذه الثغرة الأمنية تشغيل التعليمات البرمجية التعسفية مع امتيازات النظام. ويمكن للمهاجم بعد ذلك تثبيت البرامج؛ عرض البيانات أو تغييرها أو حذفها؛ أو إنشاء حسابات جديدة تتمتع بحقوق المستخدم الكاملة.
يتضمن تشغيل التعليمات البرمجية التعسفية تنفيذ أي أوامر من اختيار المهاجم وتفضيله على جهاز الضحية.
لنفترض أن لديك الفرصة لإلقاء نظرة على كل من CVE's على Microsoft. ستلاحظ أن متجهات الهجوم لكليهما مختلفة.
لاستغلال الثغرة الأمنية CVE-2021-1675، سيحتاج المهاجم إلى الوصول المباشر أو المحلي إلى الجهاز لاستخدام برنامج ضار. DLL ملف لتصعيد الامتيازات. لاستغلال الثغرة الأمنية CVE-2021-34527 بنجاح، يمكن للمهاجم حقن ملف DLL الضار عن بعد.
إجابات التحدي
ما التاريخ كان مكافحة التطرف العنيف المخصصة للثغرة الأمنية في السؤال السابق؟ (مم/ي ي/س س س س)
قم بتوفير الوظيفة المستخدمة لتثبيت برامج تشغيل الطابعة.
ما الأداة التي يمكن للمهاجم استخدامها للبحث عن خوادم الطباعة الضعيفة؟
ابحث عن اسم المصدر ومعرف الحدث عند توقف خدمة Print Spooler بشكل غير متوقع وكم مرة تم تسجيل هذا الحدث؟ (شكل: الإجابة، الإجابة، الإجابة)
أوه لا! تعتقد أنك وجدت اتصال المهاجم. تحتاج إلى معرفة عنوان IP الخاص بالمهاجم واسم المضيف الوجهة من أجل إنهاء الاتصال. قم بتوفير عنوان IP الخاص بالمهاجم واسم المضيف. (شكل: أجب، أجب)
سيسمون تم إنشاء الملف تم إنشاء الحدث وتسجيله. توفير المسار الكامل إلى انخفض DLL وأقرب وقت للإنشاء بالتوقيت العالمي المنسق. (شكل:إجابة,yyyy-mm-dd hh-mm-ss)
ما هو المجال المحلي؟
ما هو حساب المستخدم الذي تم استخدامه لاستغلال الثغرة الأمنية؟
ما كان خبيث DLL المستخدمة في استغلال؟
ما هو عنوان IP الخاص بالمهاجم؟
ما هو مسار UNC حيث كان الملف الخبيث DLL تمت استضافته؟
هناك حزم مشفرة في النتائج. ما هو البروتوكول المرتبط؟
أين يمكنك تعطيل خدمة Print Spooler في نهج المجموعة؟ (شكل: لا توجد مسافات بين الخطوط المائلة للأمام)
قم بتوفير الأمر في PowerShell لاكتشاف ما إذا كانت خدمة Print Spooler Service قيد التشغيل أم لا.
فيديو تجول
احصل على ملاحظات ميدانية حول الأمن السيبراني من خلال الانضمام إلى عضوية قناتي على YouTube