کشف آسیب پذیری خطرناک Zeroday و Patch نشده با نام PrintNightmare برروی Windows
به تازگی آسیب پذیری خطرناکی به نام PrintNightmareبا کد انحصاری CVE-2021-1675بر روی ویندوز کشف شده است که به هکر ها این امکان را می دهد تا از راه دور کنترل سیستم قربانی را در اختیار بگیر و یا اقدام به حلمه تصاحب دامنه نماید.موسسه معتبر NIST این آسیب پذیری را با درجه High تایید کرده است همچنین تیم امنیتی شرکت QiAnXin که در زمینه امنیت شبکه های کامپیوتری فعالیت دارد با انتشار ویدئویی کوتاه نحوهExploit این آسیب پذیری را نشان داده است. متاسفانه تا این لحظه شرکت ماکروسافت هیچگونه Patch برای این آسیب پذیری منتشر نکرده است. ( به محض انتشار پچ امنیتی توسط ماکروسافت ما نحوه پچ کردن این آسیب پذیری را در ساب پورتال مدیریت فناوری اطلاعات قرار خواهیم داد.)
با توجه به بحرانی بودن این آسیب پذیری و همچنین منتشر نشدن Patch از سوی ماکروسافت لازم است تا همه مدیران شبکه در اسرع وقت نسبت به انجام پیشگیری های لازم تا زمان ارائه پچ اقدام نمایند.
بنظر میرسد برای یک اقدام فوری غیر فعال نمودن سرویس Windows Print Spooler به خصوص بر روی سرور های دامنه، راه کار مناسبی باشد همچنین میتوانید با انجام اقدامات زیر نسبت به ایمن سازی سرورهای خود اقدام نمائید.
حذف Authenticated Users از گروه Pre-Windows 2000 Compatible Access
مطمئن شوید که گروه Authenticated Users در گروه Pre-Windows 2000 Compatible Access group عضو نباشد. به طور کلی مطمئن شوید که هیچ گروه و یا کاربری در این این گروه عضو نباشد.
برای این کار در سرور Active Directory برنامه Active Directory Users and Computers را باز کنید ( با وارد کردن dsa.msc در Run و یا از Start menu میتوان به این برنامه دسترسی داشت)
از منو درختی سمت چپ روی نام دامنه دابل کلیک کنید تا زیر مجموعه آن قابل رویت گردد گزینه Builtin را انتخاب کنید سپس بر روی Pre-Windows 2000 Compatible Access دابل کلیک کنید از سربرگ Members اعضای گروه را مشاهده نمائید اگر گروه های "Anonymous Logon", "Authenticated Users" و یا "Everyone" وجود داشت آنها را Remove کنید.
در صورتی که غیر فعال کردن سرویس Print Spooler برای شما امکانپذیر نیست میتوانید از تنظیمات زیر استفاده نمائید
ابتدا وارد Group Policy در سرور دامنه و یا کلاینت هایی که عضو دامنه نیستند شوید مطابق منوهای زیر پیش روید:
Computer Configuration -> Administrative Templates -> Printers
سپس اقدام به غیر فعال سازی گزینه Allow Print Spooler to accept client connections نمائید.
بعد از انجام این تنظیمات حتما باید سرویس Print spooler راه اندازی مجدد گردد.
نظر شما :