התרעה דחופה של מערך הסייבר: פגיעות קריטית באחד משירותי Windows
המערך הוציא התרעה מפני פגיעות קריטית ב-Print Spooler Service של מערכת האבטחה מבית מיקרוסופט ● מדובר בחולשה נפוצה מאוד בארגונים, כולל בישראל, ולכן פוטנציאל הנזק עצום ● יש גם המלצות מה לעשות
מערך הסייבר הלאומי הוציא היום (ה') אחר הצהרים התרעה דחופה על פגיעות קריטית ב-Print Spooler Service של מערכת הפעלה Windows מבית מיקרוסופט. זאת, לאחר שהחברה עדכנה באחרונה מידע לגבי פגיעות בשירות ההדפסה.
הפגיעות עלולה לאפשר לתוקף מרוחק ומזוהה (Authenticated) בעל נגישות רשתית לעמדה או לשרת בארגון להעלות הרשאות ולהריץ פקודות ברמת ה-System על העמדה המותקפת. במערך הסייבר אומרים כי מדובר בחולשה נפוצה מאוד בארגונים בישראל ובחו"ל, מאחר שחדירה דרכה עלולה לפגוע בכל עמדות ושרתי מיקרוסופט הנתמכים, בין ברשתות ארגוניות ובין בכאלה הנגישים מהאינטרנט, שמופעל עליהם שירות ניהול ההדפסה.
מה עושים?
במערך מציינים כי טרם פורסם עדכון אבטחה לפגיעות ולכן, עד לפרסום עדכון שכזה, הוא ממליץ לארגונים לנטרל את השירות בכל העמדות והשרתים הרגישים בו, ובפרט בשרתי Domain Controller ובעמדות של מנהלנים. במערך מדגישים שפוטנציאל הנזק הוא משמעותי – השתלטות על ה-AD ומשם דלף מידע, מתקפת כופרה, מחיקת עמדות ועוד. במערך מפנים את תשומת הלב לכך שנטרול השירות ימנע הדפסה במדפסות המוגדרות על שרתים או עמדות אלה. נטרול השירות על שרתי DC מונע מחיקה אוטומטית (Pruning) של תורי הדפסה שאינם נגישים.
יצוין כי במסגרת עדכון האבטחה האחרון שלה, ליוני 2021, מיקרוסופט הוציאה עדכון אבטחה לפגיעות CVE-2021-1675. הפגיעות תוארה כהעלאת הרשאות מקומית. חוקרים מצאו כי על אף העדכון, ניתן לממש הרצת קוד מרחוק בהרשאת System על עמדה שבה פועל השירות הפגיע. פגיעות זו קיבלה את הכינוי Printnightmare (הסיוט של ההדפסה), ובמערך הסייבר הלאומי מוסרים שקיימות ברשת כמה POCs לניצול פגיעות זו. המשמעות של הפגיעות היא שתוקף בעל אחיזה ברמת משתמש רגיל ברשת הארגונית עלול לתקוף שרת Domain Controller ולקבל עליו הרשאת System, שניתן לנצל אותה להשגת אחיזה מלאה ב-Active Directory.
מערך הסייבר הלאומי מבטיח לעדכן את ההתרעה כשמיקרוסופט תפרסם עדכון אבטחה לפגיעות זו.
תגובות
(0)