Daha önceki bir haberimizde de bahsettiğimiz “PrintNightmare” açığıyla alakalı olası saldırıları engellemeye yönelik bir hafifleştirme kılavuzu yayınlandı.

CVE-2021-34527 olarak izlenen bu uzaktan kod yürütme (RCE) hatası, Windows’un tüm sürümlerini etkilemekte ve Microsoft, güvenlik açığının savunmasızlığını test etmeye devam ediyor.

CVE-2021-34527, saldırganların program yüklemelerine, verileri görüntülemelerine, değiştirmelerine veya silmelerine ve tam kullanıcı haklarına sahip yeni hesaplar oluşturmalarına olanak tanıdığından, saldırganların SYSTEM ayrıcalıklarıyla uzaktan kod yürütme yoluyla etkilenen sunucuları devralmasına olanak tanımakta.

Aktif Olarak İstismar Altında

Şirket, yeni yayınlanan bir güvenlik rehberinde “PrintNightmare”in zaten vahşi ortamda kullanıldığını ekledi. Microsoft, tespit edilen istismarın arkasında kimin olduğunu paylaşmadı.

Ancak Microsoft, Microsoft 365 Defender müşterileri için ayrı bir tehdit analizi raporunda, saldırganların “PrintNightmare”i ilk gününden itibaren aktif olarak yararlandığını söylüyor.

Şu anda, Microsoft’un sorunu araştırdığı ve bir düzeltme üzerinde çalıştığı “PrintNightmare”i ele alan herhangi bir güvenlik güncelleştirmesi bulunmamakta.

Microsoft ayrıca, Haziran ayında yamalanan “CVE-2021-1675’e atanan güvenlik açığına benzer ancak ondan farklı” diyerek hatayı çevreleyen karışıklığı da ortadan kaldırdı.

Microsoft 365 Defender customers can also refer to the threat analytics report we published on this vulnerability. The report provides tech details, guidance for mitigating the impact of this threat, and advanced hunting queries, which are published here: https://t.co/tBunCJgn6W

— Microsoft Security Intelligence (@MsftSecIntel) July 2, 2021

Hafifletme Önerileri

Bu kusuru gidermek için güvenlik güncelleştirmeleri yayınlamamış olsa da Microsoft, saldırganların güvenlik açığı bulunan sistemleri ele geçirmesini engellemek için hafifletici önlemler sağlıyor.

Kullanılabilir seçenekler arasında, yazdırma özelliğini yerel ve uzaktan kaldırmak için Yazdırma Biriktiricisi hizmetinin devre dışı bırakılması veya gelen uzaktan yazdırma işlemlerini engelleyerek uzaktan saldırı vektörünü kaldırmak için Grup İlkesi aracılığıyla gelen uzaktan yazdırmanın devre dışı bırakılması yer almakta.

İkinci durumda Microsoft, “sistemin artık bir yazdırma sunucusu olarak çalışmayacağını, ancak doğrudan bağlı bir aygıta yerel yazdırmanın hala mümkün olacağını” söylüyor.

Güvenlik açığını azaltmak için aşağıdaki iki prosedürden birini uygulamanız gerekmekte:

Birinci Seçenek: Yazdırma Biriktiricisi hizmetini devre dışı bırakın

Yazdırma Biriktiricisi hizmetini devre dışı bırakmak kuruluşunuz için uygunsa aşağıdaki PowerShell komutlarını kullanın:

Stop-Service -Name Spooler -Force
Set-Service -Name Spooler -StartupType Disabled

İkinci Seçenek: Grup İlkesi aracılığıyla gelen uzaktan yazdırmayı devre dışı bırakın

Ayarları Grup İlkesi aracılığıyla aşağıdaki şekilde de yapılandırabilirsiniz:

Uzak saldırıları engellemek için “Yazdırma Biriktiricisinin istemci bağlantılarını kabul etmesin:” ilkesini devre dışı bırakın.