Windows’ta uzaktan kod yürütülmesine izin veren şu anda yama uygulanmamış bir güvenlik açığı için teknik ayrıntılar ve bir kavram kanıtı yanlışlıkla sızdırıldı.
Kimlik doğrulama ihtiyacına rağmen, tehdit aktörleri, kötü amaçlı yazılımları bir şirketin ağında kolayca dağıtmak için bir Windows domain sunucusunu devralmak için kullanabileceğinden, sorunun ciddiyetini Microsoft da kabullenmiş durumda.
Sorun, Windows Yazdırma Biriktiricisini etkilediği ve bu bileşeni yıllar içinde etkileyen uzun bir hata listesi nedeniyle, araştırmacılar buna “PrintNightmare” adını verdi.
Birkaç araştırmacı, tamamen yama uygulanmış Windows Server 2019 sistemlerinde sızdırılmış kavram kanıtını test etti ve kodu “SYSTEM” olarak yürütebildi.
Kazara Yapılan Bir Sızıntı
Bu güvenlik açığının ayrıntılarının sızdırılması, başka bir sorun olan CVE-2021-1675 ile karıştırılarak kazara meydana geldi ve Microsoft’un bu ayki güvenlik güncelleştirmelerinin kullanıma sunulmasında yamaladığı Yazdırma Biriktiricisi’ni de etkiledi.
Başlangıçta Microsoft, CVE-2021-1675’i yüksek önemde, ayrıcalık yükseltme sorunu olarak sınıflandırdı, ancak birkaç hafta sonra herhangi bir ayrıntı vermeden derecelendirmeyi kritik olarak değiştirip ardından uzaktan kod yürütmenin etkisini değiştirdi.
Üç siber güvenlik şirketinden (Tencent, AFINE, NSFOCUS) araştırmacılar, CVE-2021-1675’i rapor ettikleri için kredilendirildi, ancak birden fazla ekip Windows Yazdırma Biriktiricisini analiz ediyordu.
28 Haziran’da Çinli güvenlik sağlayıcısı QiAnXin, hem yerel ayrıcalık yükseltme hem de uzaktan kod yürütme elde etmek için güvenlik açığından yararlanmanın bir yolunu bulduklarını duyurdu ve bir demo videosu yayınladı.
Çinli güvenlik şirketi Sangfor’dan başka bir araştırmacı ekip, güvenlik açığı videosunu görüp, teknik yazıları ve uzaktan kod yürütme (RCE) için bir demo istismarı yayınlamaya karar vererek, hataya “PrintNightmare” ismini verdi.
Microsoft’un 8 Haziran’daki CVE-2021-1675 yamasının eksik olduğu ve “PrintNightmare RCE” açığının güncel sistemlerde çalıştığı ortaya çıktı.
Yine de CVE-2021-1675’i Microsoft’a bildiren araştırmacılardan biri olan NSFOCUS’tan Yunhai Zhang, yamanın “PrintNightmare” açığını neden durdurmadığına dair bir açıklama yaptı: “CVE-2021-1675, PrintNightmare’ı düzeltmeyi amaçlıyor, ancak görünen o ki, raporumdaki daha zarif ve daha kısıtlı olan test senaryosunu test ediyorlar. Yani, yama eksik.”
Henüz hata hakkında bir yama gelmediğinden, yöneticilere domain denetleyici sistemlerinde biriktirici hizmetini durdurmaları ve devre dışı bırakmaları şiddetle tavsiye ediliyor.
Güvenlik araştırmacısı Jonas Lykkegård, BleepingComputer’a verdiği demeçte, tehdit aktörlerinin, özellikle de fidye yazılım gruplarının, sınırlı ayrıcalıklı domain kullanıcıları için kimlik bilgilerini almanın kolay bir iş olduğundan, şirket ağlarını tehlikeye atma vesilesiyle atlama ihtimalinin yüksek olduğunu söyledi.
Windows Uzak Masaüstü oturum açma işlemleri için en büyük pazarlardan biri, bunları satmanın kazançlı bir iş olduğunu gösteren 1,3 milyon kimlik bilgisi koleksiyonuna sahipti ve şu anda bazı yeraltı forumlarında, bir Windows Uzak Masaüstü sunucusu için geçerli bir oturum açma ve parola çifti 3$’dan 70$’a kadar fiyatlardan satılıyor.