Πριν από μερικές μέρες, μάθαμε για ένα νέο exploit που ονομάζεται “PrintNightmare” το οποίο επηρεάζει σχεδόν όλες τις συσκευές των Windows. Χρησιμοποιεί τις μη προστατευμένες λειτουργίες της υπηρεσίας Windows Print Spooler για να προκαλέσει απομακρυσμένη εκτέλεση κώδικα (RCE). Ο Οργανισμός Ασφάλειας Κυβερνοασφάλειας και Υποδομής των Ηνωμένων Πολιτειών (CISA) τονίζει ως μια κρίσιμη ευπάθεια, με τη Microsoft να διερευνά ενεργά μια επιδιόρθωση. Τώρα, ο γίγαντας της τεχνολογίας Redmond παρείχε περισσότερες πληροφορίες για το θέμα.
Το PrintNightmare – το οποίο παρακολουθείται από το CVE-2021-34527 – έχει πλέον λάβει βασική βαθμολογία Common Vulnerability Scoring System (CVSS) 8,8. Είναι σημαντικό να σημειωθεί ότι η τεκμηρίωση προδιαγραφών CVSS v3.0 το ορίζει ως «ευπάθεια υψηλής σοβαρότητας», αλλά είναι επικίνδυνα κοντά στο «κρίσιμο» εύρος που ξεκινά από το 9.0. Η βασική βαθμολογία μπορεί να είναι το πολύ 10,0. Παρομοίως, αυτή τη στιγμή έχει χρονικό σκορ 8.2. Η χρονική βαθμολογία μετρά την τρέχουσα δυνατότητα αξιοποίησης μιας ευπάθειας βάσει ορισμένων παραγόντων.
Είναι σημαντικό να σημειωθεί ότι μια παρόμοια ευπάθεια επιδιορθώθηκε στην ενημέρωση Patch Tuesday του Ιουνίου, αλλά είχε μια βασική βαθμολογία CVSS 7,8.
Η βασική βαθμολογία είναι 8,8 επειδή η Microsoft έχει αναγνωρίσει ότι ο φορέας επίθεσης βρίσκεται σε επίπεδο δικτύου, απαιτεί χαμηλή πολυπλοκότητα και προνόμια επίθεσης, δεν περιλαμβάνει αλληλεπίδραση με τους χρήστες και μπορεί να οδηγήσει σε “πλήρη απώλεια” της εμπιστευτικότητας, της ακεραιότητας και της διαθεσιμότητας πόροι ενός οργανισμού. Εν τω μεταξύ, η χρονική βαθμολογία είναι 8,2, επειδή ο λειτουργικός κώδικας exploit είναι άμεσα διαθέσιμος στο Διαδίκτυο και λειτουργεί σε όλες τις εκδόσεις των Windows, υπάρχουν αναλυτικές αναφορές σχετικά με αυτόν και έχουν προταθεί ορισμένες επίσημες μέθοδοι αποκατάστασης.
Μιλώντας για τεχνικές μετριασμού, γνωρίζουμε ήδη ότι η Microsoft πρότεινε την απενεργοποίηση της υπηρεσίας Windows Print Spooler ή τουλάχιστον την εισερχόμενη απομακρυσμένη εκτύπωση μέσω της Πολιτικής ομάδας. Τώρα έχει επίσης συστήσει να ελεγχθεί η ιδιότητα μέλους και ένθετης ομάδας ορισμένων οντοτήτων. Η εταιρεία προτείνει ότι ο αριθμός των μελών πρέπει να διατηρείται όσο το δυνατόν χαμηλότερος, και ιδανικά θα πρέπει να είναι μηδέν όπου είναι δυνατόν. Ωστόσο, προειδοποίησε ότι η αφαίρεση μελών από ορισμένες από αυτές τις ομάδες μπορεί να οδηγήσει σε ζητήματα συμβατότητας. Οι εν λόγω ομάδες είναι οι ακόλουθες:
- Administrators
- Domain Controllers
- Read Only Domain Controllers
- Enterprise Read Only Domain Controllers
- Certificate Admins
- Schema Admins
- Enterprise Admins
- Group Policy Admins
- Power Users
- System Operators
- Print Operators
- Backup Operators
- RAS Servers
- Pre-Windows 2000 Compatible Access
- Network Configuration Operators Group Object
- Cryptographic Operators Group Object
- Local account and member of Administrators group
Η Microsoft υπογράμμισε ότι μια επιδιόρθωση θα είναι διαθέσιμη το συντομότερο δυνατό, αλλά εν τω μεταξύ, έχει προτείνει στους οργανισμούς να χρησιμοποιούν εργαλεία όπως το Microsoft Defender 365 για την παρακολούθηση δυνητικά κακόβουλης δραστηριότητας. Παρόλο που το Print and Point δεν σχετίζεται άμεσα με αυτήν την εκμετάλλευση, ο γίγαντας της τεχνολογίας Redmond έχει ακόμη προτείνει την επεξεργασία ορισμένων τιμών μητρώου προκειμένου να σκληρύνει την τοπική υποδομή ασφαλείας του οργανισμού σας και δήλωσε ότι οι διακομιστές εκτύπωσης που χρησιμοποιούνται από τους πελάτες πρέπει να αναφέρονται ρητά.