مقدمة

لكل مايكروسوفت، "توجد ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد عندما تقوم خدمة Windows Print Spooler بإجراء عمليات الملفات المميزة بشكل غير صحيح. يمكن للمهاجم الذي نجح في استغلال مشكلة عدم الحصانة هذه تشغيل تعليمات برمجية عشوائية بامتيازات النظام. ويمكن للمهاجم بعد ذلك تثبيت البرامج؛ عرض البيانات أو تغييرها أو حذفها؛ أو إنشاء حسابات جديدة تتمتع بحقوق المستخدم الكاملة“.

لفهم ثغرة PrintNightmare بشكل أفضل (أو أي ثغرة أمنية)، يجب أن تعتاد على البحث عن الثغرات الأمنية من خلال قراءة مقالات Microsoft على أي برنامج خاص بنظام Windows مكافحة التطرف العنيف أو تصفح الإنترنت بحثًا عن منشورات المجتمع والبائعين.

لقد كان هناك بعض الالتباس إذا كان CVE-2021-1675 و CVE-2021-34527 ترتبط ببعضها البعض. يذهبون تحت نفس الاسم: ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد للتخزين المؤقت لطباعة Windows وكلاهما متعلق ب التخزين المؤقت للطباعة.

مثل مايكروسوفت تنص الأسئلة الشائعة على ثغرة PrintNightmare (CVE-2021-34527) "مشابهة ولكنها مختلفة عن الثغرة الأمنية التي تم تعيينها لـ CVE-2021-1675. ناقل الهجوم مختلف أيضًا. "

ماذا تقصد مايكروسوفت بناقل الهجوم؟ للإجابة على هذا السؤال، دعونا ننظر في الاختلافات بين هاتين الثغرتين ونلحق الجدول الزمني للأحداث.

لكل مايكروسوفت تعريف، ثغرة PrintNightmare هي "توجد ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد عندما تقوم خدمة Windows Print Spooler بإجراء عمليات الملفات المميزة بشكل غير صحيح. يمكن للمهاجم الذي نجح في استغلال هذه الثغرة الأمنية تشغيل التعليمات البرمجية التعسفية مع امتيازات النظام. ويمكن للمهاجم بعد ذلك تثبيت البرامج؛ عرض البيانات أو تغييرها أو حذفها؛ أو إنشاء حسابات جديدة تتمتع بحقوق المستخدم الكاملة.

يتضمن تشغيل التعليمات البرمجية التعسفية تنفيذ أي أوامر من اختيار المهاجم وتفضيله على جهاز الضحية.
لنفترض أن لديك الفرصة لإلقاء نظرة على كل من CVE's على Microsoft. ستلاحظ أن متجهات الهجوم لكليهما مختلفة.

لاستغلال الثغرة الأمنية CVE-2021-1675، سيحتاج المهاجم إلى الوصول المباشر أو المحلي إلى الجهاز لاستخدام برنامج ضار. DLL ملف لتصعيد الامتيازات. لاستغلال الثغرة الأمنية CVE-2021-34527 بنجاح، يمكن للمهاجم حقن ملف DLL الضار عن بعد.

احصل على ملاحظات شهادة OSCP

إجابات التحدي

أين يمكنك تمكين أو تعطيل خدمة Print Spooler؟
قم بتوفير CVE الخاص بالثغرة الأمنية الخاصة بتنفيذ التعليمات البرمجية عن بعد لـ Windows Print Spooler والتي لا تتطلب الوصول المحلي إلى الجهاز.

ما التاريخ كان مكافحة التطرف العنيف المخصصة للثغرة الأمنية في السؤال السابق؟ (مم/ي ي/س س س س)

ما هي العلامة الموجودة على سطح مكتب المسؤول؟
قم بتوفير مسار المجلد الأول حيث من المحتمل أن تجد حمولة DLL المسقطة.

قم بتوفير الوظيفة المستخدمة لتثبيت برامج تشغيل الطابعة.

ما الأداة التي يمكن للمهاجم استخدامها للبحث عن خوادم الطباعة الضعيفة؟

قم بتوفير اسم ملف DLL الذي تم إسقاطه، بما في ذلك رمز الخطأ. (لا توجد مسافة بعد الفاصلة)
ملف Svch0st.dll،0x45A
قم بتوفير اسم سجل الأحداث ومعرف الحدث الذي اكتشف ملف DLL الذي تم إسقاطه. (لا توجد مسافة بعد الفاصلة)
مايكروسوفت-ويندوز-PrintService/المسؤول،808

ابحث عن اسم المصدر ومعرف الحدث عند توقف خدمة Print Spooler بشكل غير متوقع وكم مرة تم تسجيل هذا الحدث؟ (شكل: الإجابة، الإجابة، الإجابة)

مدير مراقبة الخدمة،7031،1
بعد بعض خطوات تعقب التهديدات، أصبحت أكثر ثقة الآن بأنه هجوم PrintNightmare. ابحث عن اتصال قذيفة المهاجم. قم بتوفير اسم السجل ومعرف الحدث ومنفذ الوجهة. (شكل: الإجابة، الإجابة، الإجابة)
مايكروسوفت-ويندوز-Sysmon/التشغيلية،3,4747

أوه لا! تعتقد أنك وجدت اتصال المهاجم. تحتاج إلى معرفة عنوان IP الخاص بالمهاجم واسم المضيف الوجهة من أجل إنهاء الاتصال. قم بتوفير عنوان IP الخاص بالمهاجم واسم المضيف. (شكل: أجب، أجب)

10.10.210.100,ip-10-10-210-100.eu-west-1.compute.internal

سيسمون تم إنشاء الملف تم إنشاء الحدث وتسجيله. توفير المسار الكامل إلى انخفض DLL وأقرب وقت للإنشاء بالتوقيت العالمي المنسق. (شكل:إجابة,yyyy-mm-dd hh-mm-ss)

C:\Windows\System32\spool\drivers\x64\3\New\svch0st.dll,2021-08-13 17:33:40
ما هو اسم المضيف لوحدة تحكم المجال؟
فوز-1O0UJBNP9G7

ما هو المجال المحلي؟

printnightmare.local

ما هو حساب المستخدم الذي تم استخدامه لاستغلال الثغرة الأمنية؟

com.lowprivlarry

ما كان خبيث DLL المستخدمة في استغلال؟

Letmein.dll

ما هو عنوان IP الخاص بالمهاجم؟

10.10.124.236

ما هو مسار UNC حيث كان الملف الخبيث DLL تمت استضافته؟

\10.10.124.236\شاريز

هناك حزم مشفرة في النتائج. ما هو البروتوكول المرتبط؟

SMB3
قم بتوفير طريقتين لتعطيل خدمة Print Spooler يدويًا. (شكل: الإجابة، الإجابة)
بوويرشيل، سياسة المجموعة

أين يمكنك تعطيل خدمة Print Spooler في نهج المجموعة؟ (شكل: لا توجد مسافات بين الخطوط المائلة للأمام)

تكوين الكمبيوتر/القوالب الإدارية/الطابعات

قم بتوفير الأمر في PowerShell لاكتشاف ما إذا كانت خدمة Print Spooler Service قيد التشغيل أم لا.

الحصول على الخدمة - اسم التخزين المؤقت

فيديو تجول

احصل على ملاحظات ميدانية حول الأمن السيبراني من خلال الانضمام إلى عضوية قناتي على YouTube

, , ,
عرض التعليقات

معتصم

عن المؤلف

أقوم بإنشاء ملاحظات حول الأمن السيبراني وملاحظات التسويق الرقمي والدورات التدريبية عبر الإنترنت. أقدم أيضًا استشارات التسويق الرقمي بما في ذلك، على سبيل المثال لا الحصر، تحسين محركات البحث وإعلانات Google وMeta وإدارة CRM.

عرض المقالات