Microsoft’un Acil Yaması “PrintNightmare” Zafiyetini Önlemeyi Başaramadı

Microsoft’un desteklenen tüm Windows versiyonları için geçtiğimiz haftalarda sunduğu yama, siber saldırganların enfekte sistemleri ele geçirmesine ve istedikleri kodu çalıştırmalarına neden olan kritik zafiyeti ortadan kaldırmada başarılı olamadı.

PrintNightmare olarak bilinen zafiyet, yerel ağlar arasında yazıcı fonksiyonunun kullanılmasını sağlıyor. Kamuya sunulan ve geri çekilmesinden önce kopyalanan zafiyet kodu, güvenlik araştırmacıları tarafından CVE-2021-34527 koduyla listelendi.

Söz konusu zafiyet aracılığıyla siber saldırganlar uzaktan baskı özelliklerine müdahale edebilir. Dahası, zafiyet aracılığı ile sisteme erişim sağlayan siber saldırganlar, sistem erişim seviyesini artırabilir. Güvenlik uzmanları, kodun kamuya sunulmuş olmasından dolayı sunduğu riskin daha da arttığına ve son zamanlardaki en ciddi güvenlik zafiyetlerinden birini temsil ettiğine işaret ediyor.

Microsoft geçtiğimiz haftalarda zafiyete yönelik yama yayınlamış olsa da, bundan sadece 12 saat sonra bir güvenlik uzmanı yamanın işe yaramadığını ortaya koydu. Güvenlik uzmanı tarafından yayınlanan örnek videoda, yamayı kullanan bir Windows 2019 sunucusunun saldırıdan muaf kalmadığı gösterildi. Demoda ayrıca, yamanın ağ kullanıcıları tarafından istedikleri yazıcı sürücülerine erişim sağlamak için kullandıkları “point and print” içeriğine bağlı ayarlara yönelik hassasiyetleri gideremediği gösterildi.

Microsoft tarafından yapılan açıklamada Point and Print içeriğinin doğrudan zafiyet ile bağlantılı olmadığı, ancak zafiyetin yerel güvenlik seviyesini azalttığını ve siber riskleri artırdığını belirtti…

Uzaktan kontrol erişimine neden olabilir

PrintNightmare, Microsoft’un yama gaflarından sonuncusu olarak belirdi. Geçtiğimiz ay tespit edilen CV2021-1675 zafiyeti, print spooler üzerinden siber korsanların kısıtlı sistem erişimini tam yönetici kontrolüne kadar yükseltmelerini sağlıyordu. Print Spooler yazıcı sürücülerinin yüklenmesi, basılacak dosyaların iletimi, sıralanması ve takvime yerleştirilmesi gibi işlemleri yöneten Windows hizmetini temsil ediyor.

Birkaç hafta geçmesinin ardından güvenlik araştırmacıları zafiyetin sadece sistemde erişim seviyesini artırmak için kullanılmakla kalmayacağını, aynı zamanda uzaktan kontrol erişimi sağladığını ortaya çıkardı. Zafiyeti sonradan PrintNightmare olarak adlandıran güvenlik araştırmacıları kavram kanıtlama (PoC) zafiyetini kamuya sundu ancak ilk zafiyetle bulunan farklılıkların karmaşaya neden olmasının ardından geri çekti. Şu an kamuya sunulmuş en az üç PoC olduğu tahmin ediliyor.

Microsoft’un geçtiğimiz haftalarda CVE-2021-34527 için sunduğu yama, Windows yöneticilerinin kullanıcılar yeni yazıcı yazılımı yüklemek istedikleri zaman daha güçlü kısıtlamalar uygulamalarını sağlıyor. Her ne kadar PrintNightmare’i tam olarak engellememiş olsa da, en son yaman print spooler zafiyeti kaynaklı birçok riski ortadan kaldırıyor. Windows kullanıcıların ilgili zafiyetlerle bağlantılı Haziran ve Temmuz’da yayınlanan yamalar ile güncelleme yapmaları isteniyor.