CVE-2021-34527 olarak izlenen uzaktan kod yürütme kusuru, Windows’un tüm desteklenen sürümlerini etkiliyor. Hatırlayacağınız üzere geçen hafta şirket, güvenlik açığını hedefleyen aktif istismar girişimleri tespit ettiği konusunda uyarmıştı. O uyarının ardından yayınlanan yama ile açığın önüne geçmeyi hedefleyen Microsoft, analist Will Dorman’a göre halen tehlikeyi önleyemedi.
Ek olarak CERT Koordinasyon Merkezi’nin konuyla alakalı “Microsoft Windows Yazdırma Biriktiricisi hizmeti, kullanıcıların uzaktan kimliği doğrulanmış bir saldırganın güvenlik açığı bulunan bir sistemde SİSTEM ayrıcalıklarıyla rasgele kod yürütmesine izin verebilecek yazıcılar ve ilgili sürücüler eklemesine olanak tanıyan işlevlere erişimi kısıtlayamıyor” yaptığı açıklamada açığı doğruladığını belirtelim.
PrintNightmare’in ayrıca hem uzaktan kod yürütmeyi hem de hedeflenen Windows makinelerinde SİSTEM ayrıcalıklarıyla komutları çalıştırmak için saldırılarda kötüye kullanılabilecek yerel bir ayrıcalık yükseltme vektörü içerdiği ifade ediliyor.
CERT/CC güvenlik açığı analisti Will Dormann ise konuyla alakalı, “CVE-2021-34527 için Microsoft güncellemesi, PrintNightmare’in Uzaktan Kod Yürütme (SMB ve RPC aracılığıyla RCE) türevlerini ele alıyor gibi görünüyor, Yerel Ayrıcalık Yükseltme (LPE) değişkenini değil” açıklamasında bulundu.
Bu açıklamaya göre eksik düzeltmenin yerel bir düşman tarafından SİSTEM ayrıcalıkları kazanmak için hala kullanılabileceği anlamına geliyor. Microsoft, geçici çözüm olarak, Uzaktan saldırıları engellemek için Yazdırma Biriktiricisi hizmetinin durdurulmasını ve devre dışı bırakılmasını veya Grup İlkesi aracılığıyla gelen uzaktan yazdırmanın kapatılmasını öneriyor.