פרסום שגוי של חוקרי אבטחה מחברת Sangfor הוביל לפרצת יום אפס חמורה בשירות ה-Windows Print Spooler במערכת הווינדוס, פרצה שזכתה לשם PrintNightmare ולקוד הזיהוי CVE-2021-34527, המאפשרת לגורמים זרים להריץ קוד זדוני מרחוק על מערכות המחשב, כאשר מיקרוסופט מאשרת שהפרצה פעילה ונמצאת בשימוש על ידי גורמים זדונים.
בהשתלשלות אירועים חריגה למדי, חוקרי אבטחה בחברת Sangfor פרסמו “הוכחת היתכנות” (proof-of-concept) לפרצה חדשה לה הם קראו PrintNightmare, פרצת “הרצת קוד מרחוק” (remote code execution) בשירות ההדפסה Windows Print Spooler במערכת הווינדוס, האחראי להדפסות ופועל ברקע עם הפעלת המערכת, וזאת לאחר שמיקרוסופט שחררה תיקון אבטחה לפרצה בשירות ההדפסה שקיבלה את קוד הזיהוי CVE-2021-1675.
>> הצטרפו לערוץ הטלגרם של גאדג'טי
עם זאת, כפי שאפשר לראות משני קודי הזיהוי השונים, הוכחת ההיתכנות אותה פרסמו החוקרים הייתה למעשה לפרצה שונה באותו שירות ההדפסה, שדומה לפרצה שתוקנה אך גם שונה ממנה, דבר שהוביל לכך שהוכחת ההיתכנות שלהם שימשה למעשה כ”מדריך” לפרצה החדשה בעבור גורמים זדוניים, שהספיקו להעתיק את הקוד שפורסם על ידי חוקרי האבטחה בטרם הם הבינו כי מדובר בפרצות שונות והורידו את הקוד מהרשת.
https://twitter.com/edwardzpeng/status/1409810304091889669
תיקון לפרצה החדשה
בעוד שעדיין אין תיקון אבטחה לפרצת ה-PrintNightmare החדשה, מיקרוסופט פרסמה הסבר כיצד לעקוף את פרצת האבטחה על ידי ביטול שירות ה-Windows Print Spooler, עם פקודות אותן יש להפעיל ב-PowerShell בווינדוס:
- לבדיקה האם שירות ה-Windows Print Spooler פעיל במערכת, יש להריץ את הפקודה:
- Get-Service -Name Spooler
- לביטול שירות ה-Windows Print Spooler עד פרסום תיקון אבטחה לפרצה, יש להריץ את הפקודות:
- Stop-Service -Name Spooler -Force
- Set-Service -Name Spooler -StartupType Disabled
פתרון עקיף נוסף הוא ביטול האפשרות של ה-Print Spooler מגורמים חיצוניים על ידי שינוי המדיניות הקבוצתית (Group Policy) של המדפסות.
Microsoft has assigned CVE-2021-34527 to the remote code execution vulnerability that affects Windows Print Spooler. Get more info here: https://t.co/OarPvNCX7O
— Microsoft Threat Intelligence (@MsftSecIntel) July 2, 2021
פרסום “הוכחת היתכנות” הוא נוהג רגיל של חוקרי אבטחה המפרסמים כיצד פרצת אבטחה מסויימת עובדת לאחר שחברה משחררת תיקון אבטחה תואם לפרצה שימנע שימוש זדוני בה. הפעם, באופן חריג במיוחד בעבור תחום האבטחה, הקשר בין חוקרי האבטחה ומיקרוסופט לא היה תקין לגמרי ומנע מהם להבין כי הפרצה אותה הם איתרו שונה מפרצה אחרת באותו השירות שתוקנה על ידי מיקרוסופט, מה שהוביל לפרסום הוכחת ההיתכנות עוד בטרם תוקנה הפרצה בפועל על ידי מיקרוסופט. החומרה של הפרצה נחשבת גדולה למדי מאחר והיא תקפה לכלל מערכות הווינדוס השונות כיום.
