Windows üzerinde aktif olarak gelen Print Spooler servisinde kritik bir zafiyet keşfedildi.
Zafiyet, PrintNightmare (CVE-2021-1675) olarak adlandırıldı. Microsoft düşük öncelikli olarak belirttiği zafiyet için 8 Haziran'da yama yayınladı, fakat zafiyetin uzaktan kod çalıştırmaya (RCE) imkân sağladığı potansiyelinden dolayı, kritik olarak güncelledi.
Yayınlanan yamanın bazı Windows sistemlerinde (Windows Server 2019) etkisi olmadığı gözlemlendi. PrintNightmare zafiyeti dışarıdan bir saldırganın SYSTEM üzerinde komut çalıştırabileceğini gösterdi. Ayrıca Domain Controller gibi kurumun önemli sistemlerini hedef alıyor, Domain Controller üzerinde yetkiyi ele geçiren saldırgan, domain üzerinde tam yetki ile birçok noktaya erişim sağlayıp, veri değiştirme, kod çalıştırma vs. imkânı sağlamaktadır.
PrintNightmare zafiyeti için yayımlanan istismar kodu neredeyse tüm Windows sistemlerini etkiliyor. Etkilenen sistemler; Windows Server (2004, 2008, 2008 R2, 2012, 2012 R2, 2016, 2019, 20H2) ve Windows (7, 8.1, RT 8.1, 10).
Geçtiğimiz yıl da Microsoft'un Print Spooler servisinde, PrintDemon (CVE-2020-1048) isimli bir zafiyet tespit edilmiş, bu zafiyetin sistemde herhangi bir yere rastgele veri yazdırılmasına sebep oluyordu ve yaması yayınlanmıştı.
Çözüm;
Maalesef henüz tam anlamıyla zafiyeti engelleyebilecek bir yama yayınlanmamıştır. Bunun için Print Spooler servisinin kapatılması veya kaldırılması önerilmektedir.
Komut satırından servisi durdurmak için;
- CMD servisini yönetici olarak çalıştırın.
- Komut satırında; net stop spooler yazarak, servisi durdurun.
- Tekrar başlatmak istediğinizde net start spooler komutu ile başlatabilirsiniz.