PrintNightmare | פרצת אבטחה בשירות ההדפסה של WINDOWS

דירוג

פגיעות קריטית ב-Print Spooler Service של מערכת הפעלה Windows:

לאחרונה עדכנה חברת מיקרוסופט את המידע לגבי פגיעות בשירות ההדפסה של מערכת ההפעלה Windows מתוצרתה. הפגיעות עלולה לאפשר לתוקף מרוחק ומזוהה (Authenticated) בעל נגישות רשתית לעמדה או שרת, העלאת הרשאות והרצת פקודות ברמת System על העמדה המותקפת. טרם פורסם עדכון אבטחה לפגיעות. עד לפרסום עדכון אבטחה, מומלץ מאד לנטרל שירות זה בכל העמדות והשרתים הרגישים בארגון, ובפרט בשרתי Domain Controller או בעמדות של מנהלנים.

סרטון המדגים את ניצול הפרצה:

פרטים

  1. במסגרת עדכון האבטחה לחודש יוני 2021, פורסם עדכון אבטחה לפגיעות CVE-2021-1675.
  2. הפגיעות תוארה כהעלאת הרשאות מקומית.
  3. חוקרים מצאו כי על אף העדכון, ניתן לממש הרצת קוד מרחוק בהרשאת System על עמדה בה פועל השירות הפגיע.
  4. פגיעות זו קיבלה את הכינוי printnightmare. קיימים ברשת מספר POC לניצול פגיעות זו.
  5. המשמעות של הפגיעות היא שתוקף בעל אחיזה ברמת משתמש רגיל ברשת הארגונית, עלול לתקוף שרת Domain Controller ולקבל עליו הרשאת System, שניתן לנצלה להשגת אחיזה מלאה ב-Active Directory.

להמשך קריאה באתר מערך הסייבר הלאומי >>