أسبوع الأمان 21: عدم حصانة خدمة طباعة Windows

جاءت الأخبار الأكثر إثارة للاهتمام الأسبوع الماضي كجزء من حزمة الخدمة التالية لأنظمة تشغيل وبرامج Microsoft ( مقالة مراجعة ). في المجموع ، أغلق المطورون 111 نقطة ضعف ، 16 منها خطيرة. على عكس التحديثات التراكمية السابقة ، لم يتم استغلال خطأ واحد حتى تم إصدار التصحيح.

لا تبرز الثغرة CVE-2020-1048 (وصف على موقع Microsoft على الويب ، مناقشة حول Habré) في خدمة الطباعة في Windows (بتعبير أدق ، في وحدة Windows Print Spooler ) ليس حسب درجة التهديد ، ولكن حسب تاريخها. تم العثور عليه في قطعة قديمة من التعليمات البرمجية ، والتي ، على ما يبدو ، لم يتم تحديثها منذ Windows NT4.

الوصف الرسمي للمشكلة هو كما يلي: تسمح الثغرة الأمنية في Print Spooler للمستخدم المحلي بزيادة الامتيازات ، لأنها توفر وصولاً عشوائيًا إلى نظام الملفات. يوم الثلاثاء الماضي ، 12 مايو ، نشر الباحثان أليكس إيونيسكو وياردن شافر وصفًا تفصيليًا للمشكلة. بكلمات بسيطة ، تمت صياغة CVE-2020-1048 في نهاية المقالة: هذا خطأ سهل الاستخدام بشكل لا يصدق - يمكن "مهاجمة" النظام باستخدام أمرين فقط في PowerShell. هذا ليس كل شيء: ترسلنا الدراسة إلى رمز أكثر عفا عليه الزمن لإرسال الفاكسات (!) والهجوم الصناعي Stuxnet.

يصف المنشور بالتفصيل آلية تشغيل Print Spooler - نظام مسؤول عن طباعة المستندات وإدارة الطابعات. يمكن أن يعمل مع أجهزة الطباعة المحلية والشبكة ، كما يدعم الطباعة إلى ملف. يتم وصف الطريقة الأخيرة بالتفصيل في المقالة ، بما في ذلك آلية إضافة طابعة افتراضية من خلال أمر في PowerShell. بهذه النتيجة:

في النهاية ، يعود الأمر كله إلى تقديم الفريق السحري من تغريدة أعلاه. لم يتحقق Windows من صلاحية "الوجهة" ، مما جعل من الممكن إنشاء "طابعة" مع سجل في ملف النظام ، في هذه الحالة ، مكتبة ualapi.dll. يكفي "طباعة" مدخلات تنفيذية تعسفية في مثل هذه "الطابعة" ، ويمكنك التحكم الكامل في النظام. في التصحيح ، أضاف مطورو Microsoft التحقق من منفذ الطباعة. بتعبير أدق ، كانت موجودة قبل ذلك ، لكنها عملت فقط عند استخدام الأدوات للعمل مع Print Spooler من خلال واجهة رسومية (يظهر التحقيق في Windows Internals محاولة لإنشاء مثل هذه الأداة). ومع ذلك ، لم يعمل عند العمل من سطر الأوامر.

تحتوي هذه الدراسة على خلفية: في وقت مبكر من 30 أبريل ، نشر Ionescu و Shafirمقال عن هجوم مماثل ، ولكن من خلال خدمة الفاكس (هل تتذكر ما هو؟ لا؟ ولا يزال Windows يدعمها!). في ذلك الوقت ، كان الباحثون يعرفون بالفعل الثغرة الأمنية في Print Spooler ، لكن كان عليهم الانتظار حتى إصدار التصحيحات. لذلك ، كان يجب أن يكون المنشور السابق غير منطقي لاستدعاء الجزء الثاني من الدراسة ، وفي غضون أسبوعين لنشر الجزء الأول.

في عام 2010 ، تم إغلاق ثغرة مماثلة في نظام طباعة Windows : تصعيد الامتياز في النظام عن طريق "الطباعة" العشوائية للبيانات إلى ملف. تم استغلال المشكلة كجزء من هجوم Stuxnet السيبراني وإضافتها إلى صندوق الأدوات لإصلاحها في النظام المستهدف. في الواقع ، اكتشفنا ذلك أثناء الدراسةكود خبيث. نتيجة لحادث قبل 10 سنوات ، تم تعزيز دفاع Print Spooler ، ولكن ، كما هو واضح الآن ، ليس جيدًا بما فيه الكفاية.

أجرت Sophos مقابلات مع الشركات حول الهجمات السيبرانية من خلال برامج الفدية. وبلغ متوسط ​​الخسائر الناجمة عن مثل هذه الحوادث 730 ألف دولار - ولكن هذا إذا لم تدفع الفدية ، ولكن تحصل على نسخة من البيانات من النسخ الاحتياطي وبطرق أخرى استعادة البنية التحتية.

والأكثر إثارة للاهتمام هو أن متوسط ​​الضرر بين أولئك الذين امتثلوا لمتطلبات المفرقعات تبين أنه ضعف - 1.4 مليون دولار. جزئيًا ، هذا هو "متوسط ​​درجة الحرارة في المستشفى" ، لأن الحماية والتحفظ المختصين يمكن أن ينقذوا بشكل خطير. لكن هذه حجة أخرى لعدم دفع المجرمين عبر الإنترنت ، بالإضافة إلى العديد من الأمثلة على الابتزاز المزدوج ، عندما يطلبون أولاً المال لفك تشفير البيانات ، ثم لعدم توزيعها.

تقوم Microsoft باختبار تشفير DNS باستخدام DNS-over-HTTPS. الميزة المتوفرة في Windows 10 Insider Preview Build 19628 .

دفع ممثلو Facebook 20 ألف دولار للكشف عن خطأ في الخدمة تابع مع Facebook. يسمح لك بتسجيل الدخول إلى موارد الطرف الثالث من خلال حساب على الشبكة الاجتماعية. اكتشف الباحث فينوت كومار أن المتابعة مع Facebook تستخدم شفرة JavaScript من خوادم Facebook للعمل ، والتي يمكن استبدالها ، مما يسمح لك باختطاف حساب زائر. توجد ثغرة أمنية في

المكون الإضافي Page Builder لبرنامج Wordpress. نظريًا ، يخضع ما يصل إلى مليون موقع ويب إلى ذلك ؛ يسمح الخطأ بمهاجمة حساب مسؤول Wordpress عن طريق تنفيذ تعليمات برمجية ضارة في مستعرض.