Microsoft, Windows kullanıcılarını Windows Yazdırma Biriktiricisi hizmetindeki yamalanmamış kritik bir kusur hakkında uyarıyor. PrintNightmare olarak adlandırılan güvenlik açığı, güvenlik araştırmacılarının yanlışlıkla bir kavram kanıtı (PoC) açığı yayınlamasından sonra bu haftanın başlarında ortaya çıkarıldı. Microsoft bu güvenlik açığını derecelendirmemiş olsa da, saldırganların sistem düzeyinde ayrıcalıklarla uzaktan kod yürütmesine olanak tanır; bu, Windows’ta alabileceğiniz kadar kritik ve sorunludur.
Sangfor’daki araştırmacılar, PoC’yi yayınladılar. görünen o ki, araştırmacılar ve Microsoft arasında bir hata veya yanlış bir iletişim var. Test kodu hızla silindi, ancak GitHub’da çatallanmadan önce değil.
Sangfor araştırmacıları, bu ayın sonlarında düzenlenen yıllık Black Hat güvenlik konferansında Windows Yazdırma Biriktiricisi hizmetindeki birden çok 0 günlük güvenlik açığını ayrıntılandırmayı planlıyorlardı. Görünüşe göre, şirket ayrı bir Windows Yazdırma Biriktiricisi kusuru için düzeltme ekleri yayınladıktan sonra, araştırmacılar Microsoft’un bu güvenlik açığını yamaladığını düşündüler.
Güvenlik açığından aktif olarak yararlanılıyor
Microsoft’un nihayet bir güvenlik açığı yayınlaması birkaç gün sürdü. 0 gün hakkında uyarı ve Bleepingcomputer, şirketin müşterileri aktif olarak istismar edildiği konusunda uyardığını bildiriyor. Güvenlik açığı, saldırganların uzaktan kod yürütmeyi kullanmasına olanak tanır, böylece kötü niyetli kişiler potansiyel olarak programlar yükleyebilir, verileri değiştirebilir ve tam yönetici haklarına sahip yeni hesaplar oluşturabilir.
Microsoft, “güvenlik açığını içeren kodun tüm sürümlerde olduğunu kabul ediyor. Windows”, ancak Windows’un sunucu sürümlerinin ötesinde sömürülebilir olup olmadığı net değil. Yazdırma Biriktiricisi hizmeti, işletim sisteminin istemci sürümleri, Etki Alanı Denetleyicileri ve birçok Windows Sunucusu örneği de dahil olmak üzere varsayılan olarak Windows’ta çalışır.
Microsoft bir yama üzerinde çalışıyor, ancak kullanılabilir olana kadar şirket bunu öneriyor. Windows Yazdırma Biriktiricisi hizmetini devre dışı bırakmak (işletmeler için bu bir seçenekse) veya Grup İlkesi aracılığıyla gelen uzaktan yazdırmayı devre dışı bırakmak. Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), yöneticilerin “Etki Alanı Denetleyicilerinde ve yazdırma yapmayan sistemlerde Windows Yazdırma Biriktiricisi hizmetini devre dışı bırakmasını” önerdi.
Windows Yazdırma Biriktiricisi hizmetindeki güvenlik açıkları, sistem yöneticileri için yıllardır bir baş ağrısı olmuştur. En meşhur örnek Stuxnet virüsüydü. Stuxnet, on yıldan uzun bir süre önce birkaç İran nükleer santrifüjünü yok etmek için Windows Yazdırma Biriktiricisi hatası da dahil olmak üzere birden fazla 0 günlük açıklardan yararlandı.
