Güvenlik araştırmacıları, PrintNightmare adını verdikleri Windows Yazdırma Biriktiricisi hizmetindeki bir güvenlik açığını Haziran ayının sonuna dek aktif olarak değerlendirdiler. Salı günü yayınlanan Haziran ayı yamasıyla, güvenlik açığının kapatılması gerekiyordu ve açık gerçekten de kapandı; ancak gerçekte sorun iki güvenlik açığına neden oluyordu. Yama, CVE-2021-1675 no.lu açığı kapattı ancak CVE-2021-34527‘yi kapatmadı. Windows Yazdırma Biriktiricisi’nin varsayılan olarak tüm Windows işletim sistemlerinde etkinleştirilmiş olması nedeniyle söz konusu açık, kötü niyetli kişiler tarafından yama uygulanmamış Windows tabanlı bilgisayarların veya sunucuların kontrolünü ele geçirmek için kullanılabilir.
Microsoft, PrintNightmare adını yalnızca CVE-2021-34527 için kullanırken diğerleri hem CVE-2021-34527 hem de CVE-2021-1675 güvenlik açığı için kullanıyor.
Uzmanlarımız, her iki güvenlik açığını da ayrıntılı olarak inceledi ve açıklardan yararlanılmasını önleme teknolojisi ve davranışa dayalı korumasına sahip Kaspersky güvenlik çözümlerinin, bu güvenlik açıklarından yararlanma girişimlerini engellediğinden emin oldu.
Peki PrintNightmare neden bu kadar tehlikeli?
PrintNightmare’in son derece tehlikeli olarak kabul edilmesinin iki temel nedeni var. Birincisi, Windows Yazdırma Biriktiricisinin, domain denetleme ve sistem yöneticisi ayrıcalıklarına sahip bilgisayarlar da dahil olmak üzere tüm Windows tabanlı sistemlerde varsayılan olarak etkinleştirilmiş olması; tüm bu bilgisayarları savunmasız hale getiriyor.
İkincisi ise, araştırma ekipleri arasındaki bir yanlış anlama (ve belki de basit bir hata), PrintNightmare’in, teorik değil aynı zamanda uygulanabilir (Kavram Kanıtı – PoC) bir açık olduğunun internette paylaşılmasına neden oldu. Söz konusu araştırmacılar, Microsoft’un Haziran ayında yayınladığı yamanın sorunu çözdüğünden oldukça emindi, bu yüzden çalışmalarını uzman toplulukla paylaştılar. Ancak, güvenlik açığının neden olduğu tehlike devam ediyordu. PoC’nin hızla internetten kaldırılsa da halihazırda birçok kişi tarafından kopyalanmış olması nedeniyle Kaspersky uzmanları, PrintNightmare güvenlik açığından yararlanma girişimlerinde bir artış öngörüyor.
Güvenlik açıkları ve bunlardan faydalanılması
CVE-2021-1675, bir ayrıcalık yükselmesi güvenlik açığıdır. Bu açık, düşük seviye erişim ayrıcalıklarına sahip bir saldırganın, bir güvenlik açığını kullanmak ve daha yüksek ayrıcalıklar elde etmek için kötü amaçlı bir DLL dosyası oluşturmasına ve kullanmasını sağlar. Ancak bu, yalnızca saldırganın söz konusu güvenlik açığına sahip bilgisayara doğrudan erişimi söz konusuysa mümkündür. Microsoft, bu güvenlik açığını görece düşük riskli olarak değerlendiriyor.
CVE-2021-34527 ise büyük ölçüde daha tehlikelidir: CVE-2021-1675 ile benzer olmasına rağmen, uzaktan kod yürütme (remote code execution – RCE) güvenlik açığıdır, yani uzaktan DLL enjeksiyonu yapılabilmesini sağlar. Microsoft tarafından bu güvenlik açıklarından yararlanıldığı zaten biliniyordu. Hem güvenlik açıklarına hem de bunlardan yararlanma tekniklerine ilişkin daha ayrıntılı teknik bilgi Securelist’te yer alıyor.
PrintNightmare’in, kötü niyetli kişiler tarafından kurumsal altyapıdaki verilere erişmek için kullanabilmesi aynı zamanda söz konusu güvenlik açığının fidye yazılımı saldırıları için de kullanabilmesini sağlıyor.
Altyapınızı PrintNightmare’e karşı nasıl korursunuz?
PrintNightmare saldırılarına karşı korunmak için atacağınız ilk adım, Microsoft tarafından yayınlanan, Haziran ve Temmuz aylarına ait her iki yamayı da yüklemek olmalıdır. Bundan sonraki adımlar, yamaları kullanamamanız ihtimaline karşı Microsoft tarafından sunulan bazı geçici çözümlerdir ve bu çözümlerden biri Windows Yazdırma Biriktiricisi’nin devre dışı bırakılmasını bile gerektirmez.
Bununla birlikte, bu hizmetin kullanılmasına gerek olmayan bilgisayarlarda Windows Yazdırma Biriktiricisi’nin devre dışı bırakılmasını öneriyoruz. Özellikle, domain denetleme sunucularında yazdırma özelliğine genellikle ihtiyaç duyulmaz.
Ayrıca tüm sunucularda ve bilgisayarlarda, PrintNightmare da dahil olmak üzere bilinen ve bilinmeyen tüm güvenlik açıklarından yararlanma girişimlerini önleyen güvenilir uç nokta güvenlik çözümleri kullanılması gerekir.