Microsoft, Windows kullanıcılarını Windows Print Spooler hizmetindeki henüz yamalanmamış ve uzaktan kod yürütülmesine izin veren bir güvenlik açığı nedeniyle 30 Haziran 2021’de uyarmıştı. İlgili güvenlik açığı, tehdit aktörleri tarafından oluşturulan zararlı yazılımları bir şirketin veya kuruluşun ağı içerisinde kolayca dağıtmak için Windows domain server’ı ele geçirmede kullanabileceğinden kritik bir zaafiyettir.
Araştırmacılar, Temmuz ayının sonlarına doğru gerçekleştirilecek olan Black Hat USA 2021 konferansında Windows Print Spooler ile ilgili birden fazla güvenlik açığı ile ilgili detay vermeyi planlıyorlardı. Microsoft tarafından Haziran 2021’in en son Salı günü güncelleştirmelerinde CVE-2021-1675 için bir yama yayınlamıştı. Güvenlik araştırmacıları Microsoft’un Windows Print Spooler ile ilgili yayınladığı yamalar içerisinde son olarak ortaya çıkan güvenlik açığı ile ilgilide bir yama yayınladığını düşündüler muhtemelen.
Uzaktan Kod Çalıştırılabiliyor
Microsoft tarafından CVE-2021-1675 ile ilgili yayınlanan notlarda; Windows Print Spoole hizmeti ayrıcalıklı dosya işlemlerini uygunsuz bir şekilde gerçekleştirdiği zaman bir RCE oluşur. Bu güvenlik açığından başarılı bir şekilde yararlanan bir saldırgan, SYSTEM ayrıcalıkları sayesinde rastgele bir kod çalıştırabiliyor. Saldırgan daha sonra da verileri görüntüleyebilir, yeni bir program yükleyebilir veya silebilir, yada tam yetkilere sahip yeni kullanıcılar oluşturabilir. Bununla ilgili dikkat edilmesi gereken önemli bir nokta da güvenlik açığının bugün mevcut olan tüm Windows işletim sistemi sürümlerini etkilemesi ve hatta XP-Vista gibi kullanımdan kaldırılmış Windows sürümlerini bile etkileyebilmesidir.
Çinli güvenlik firması Sangfor araştırmacıları tarafından yayınlanan PoC(teknik ayrıntı ve kavram ispatı)’un göründüğü kadarıyla bir hatadan dolayı yada Microsoft ile araştırmacılar arasındaki yanlış iletişimden dolayı ortaya çıktığı görülüyor. Fakat ilgili test kodları Github üzerinde herkese açık olarak yayınlandı ve kısa bir süre sonrada hızlı bir şekilde silindi. Yayınlandığı zaman ile silindiği zaman arasında kaç kişi tarafından erişildiği ile ilgili bir veri bulunmuyor.
Kesin çözüm henüz yok, geçici çözümle bulunuyor
CVE-2021-1675 ile ilgili Haziran ayının en son Salı gününde yayınlanan yamaların, ortaya çıkan yeni zaafiyeti gidermediği belirtiliyor. Microsoft tarafından geçici çözüm olarak Windows Print Spooler hizmetinin tamamen devre dışı bırakılması yada Group Policy’da yapılan değişiklikler yoluyla gelen uzaktan yazdırmanın devre dışı bırakılması olarak belirtildi.
Gelişmeler oldukça güncel bilgiler eklenecektir.
