تیم های امنیتی یک آسیب پذیری خطرناک بنام PrintNightmare را روی Windows کشف کرده اند که به مهاجم راه دور امکان Domain takeover کردن را می دهد. این آسیب پذیری هنوز توسط مایکروسافت Patch نشده است اما شرکت امنیتی چینی QiAnXin یک فیلم دمو از Exploit این آسیب پذیری منتشر کرده
است و همزمان گزارشهایی مبنی بر استفاده گروه های هکری از این آسیب پذیری منتشر شده است. این آسیب پذیری (CVE-2021-1675) بسیار بحرانی بوده ولازم به اقدام فوری Adminهای شبکه می باشد. ازآنجا که این آسیب پذیری مرتبط با Windows Print Spooler می باشد لازم است تا زمان ارائه Patch از سوی مایکروسافت، در اقدامی فوری سرویس spooler بویژه روی Domain Controllerها متوقف و Disable شود. سایر اقدامات مورد نیاز تکمیلی در لینک زیر توضیح داده شده است.
https://github.com/LaresLLC/CVE-2021-167
▪️مایکروسافت تا این لحظه اطلاعات مفیدی در خصوص این آسیب پذیری منتشر نکرده است. اما احتمالا به زودی شاهد واکنش مایکروسافت خواهیم بود.
▪️موسسه معتبر NIST این آسیب پذیری را با درجه High تایید کرده است.
▪️شرکتهای امنیتی Tencent ، AFINE، NSFOCUS و Sophos نیز گزارشهای تحلیلی در خصوص این آسیب پذیری منتشر کرده اند. گزارش و توصیه های Sophos
در خصوص این آسیب پذیری را در اینجا بخوانید.
https://nakedsecurity.sophos.com/2021/06/30/printnightmare-the-zero-day-hole-in-windows-heres-what-to-do/
غیر فعال کردن سرویس Print Spooler:
Run / Type gpedit.msc / Computer Configuration / Administrative Templates / Printers
Disable the “Allow Print Spooler to accept client connections:” policy to block remote attacks.
این مراحل باید حداقل در تمام ویندوز های سرور علی الخصوص دامین کنترلر انجام شود. بهترین راه، انجام مراحل از طریق گروپ پالیسی دامین کنترلر و اعمال
روی تمام سیستم هاست. ( این پالیسی روی سیستم هایی که پرینتر روی آن ها share شده است اعمال نشود)