موارد مهم
- Windows Print Spooler اخیراً در مرکز چندین آسیبپذیری امنیتی قرار گرفته است.
- روش خاصی که Windows Print Spooler کار می کند، کارهای چاپی پیچیده را ساده تر می کند، اما ایمن نیست.
- طراحی مجدد Spooler چاپ و کنترل بیشتر آن می تواند آسیب پذیری آن را کمتر کند، اگر مایکروسافت مایل به انجام آن باشد.
Windows Print Spooler اخیراً در مرکز چندین آسیبپذیری امنیتی قرار گرفته است و علیرغم تلاشهای مایکروسافت، این مشکل برطرف نمیشود.
در مدت کمی بیش از یک ماه، مایکروسافت سه آسیبپذیری امنیتی مرتبط با Windows Print Spooler را تأیید کرده است که تاکنون برای دو مورد از آنها وصلههایی منتشر شده است. CVE-2021-34527 (معروف به "PrintNightmare")، CVE-2021-34481، و اکنون CVE-2021-36958 این امکان را برای بازیگران مخرب فراهم کردند که به خود امتیازات کامل SYSTEM را بدهند. غیرفعال کردن Print Spooler یک گزینه است، اما این کار مانع از اتصال هر چاپگر به رایانه شما می شود. با راه حل ایده آل فاصله زیادی دارد.
"فلیکس مابرلی، کارشناس امنیت سایبری در Tiger Supplies، در ایمیلی گفت: "این مشکل به طور مداوم بر سرورها و کلاینت های ویندوز، از ویندوز 7 تا 10، و سرورهای 2019، 2004، 2012، 2008 و 2016 تاثیر گذاشته است." مصاحبه با لایف وایر "همه وصله های ساخته شده توسط مایکروسافت نتوانسته اند این تهدید را مهار کنند."
چرا اسپولر چاپ؟
اسپولرها، به طور کلی، چیزی هستند که اساساً چاپگرها را چاپ می کنند - آنها همه داده های لازم را جمع آوری می کنند، آن را به درایور چاپ ارسال می کنند، سپس درایور چاپگر را به حرکت در می آورد.نسخه مایکروسافت از رابط گرافیکی دستگاه ویندوز (GDI) همراه با درایور چاپ استفاده می کند تا به چاپگر بگوید چه کاری انجام دهد، نه برنامه. این کار کارهای چاپ را برای برنامههای پیچیدهتر ساده میکند و نیاز برنامه را به دانستن نحوه کار با مدلهای خاص چاپگر برطرف میکند.
پیتر بالتازار، کارشناس فنی، میگوید: «اگرچه تکنیک استفاده شده توسط اسپولر چاپ مایکروسافت بسیار پیشرفته است و به کاربران اجازه میدهد تا اسناد خود را برای چاپ در نوبت در حین انجام کارهای دیگر روی رایانه قرار دهند، اما استفاده از GDI امنیت آن را کاهش میدهد.» نویسنده محتوا در MalwareFox، در یک ایمیل، "بر خلاف اسپول های کلاسیک، کنترل کامل توالی چاپ با برنامه اسپولر نیست."
بنابراین به نظر می رسد مشکل اصلی آسیب پذیری Windows Print Spooler همان چیزی است که آن را از اکثر اسپولرهای دیگر متمایز می کند: اتکا به GDI. تقسیم کنترل بین Windows Print Spooler و GDI، به علاوه اینکه GDI تمام داده های چاپ را کنترل می کند، سیستم را باز می گذارد.مایکروسافت، به اعتبار خود، با انتشار چندین بهروزرسانی امنیتی برای سیستمهای آسیبدیده تلاش کرده است تا در راس همه چیز بماند.
«مایکروسافت چندین وصله برای مقابله با مشکلات منتشر کرده است. با این حال، در طول دوره انتظار، این سوال باقی میماند که آیا شرکتها و سایر افراد [مایل به] آسیبپذیری برای دادن زمان به مایکروسافت برای انتشار این وصلهها هستند یا خیر.»
آیا مایکروسافت می تواند آن را برطرف کند؟
مایکروسافت بهموقع بهروزرسانیهای امنیتی را ارائه میکند، و به نظر میرسد که با شناسایی آسیبپذیریهای جدید، این امر را با سرعت نسبی مدیریت میکند. با این حال، وقتی صحبت از امنیت سیستم به میان میآید، ممکن است چند هفته منتظر بمانید تا رفع شود. به خصوص وقتی آسیبپذیریهای جدید همچنان کشف میشوند، در حالی که آسیبپذیریهای شناخته شده در حال بررسی هستند.
مایکروسافت باید اطمینان حاصل کند که ما به جای داشتن وصلهای که به زودی آسیبپذیر میشود، راهحلهای تهدید دائمی را در زمان انتظار دریافت کنیم.»
آیا حتی برای مایکروسافت این امکان وجود دارد که از آنجایی که یک برنامه کامپیوتری می تواند ایمن شود - Spooler چاپ ویندوز در این مرحله؟ آیا میتواند بهطور استعاری آب را خاموش کند و لولهها را تعمیر کند، بهجای اینکه سعی کند نشتیهای جدیدی را که پیدا میکند مسدود کند؟ با توجه به اینکه چند بار در ماه گذشته بهروزرسانیهای امنیتی Spooler چاپ چاپ شده است، چیزی باید تغییر کند.
"مایکروسافت باید [Spooler چاپ] را بازطراحی کند، و [در عین حال] به ارائه وصله های به روز برای رفع آن ادامه دهد. این بار آنها باید جنبه های امنیتی استفاده از GDI را در نظر داشته باشند." "… اسپولر باید بر تمام مراحل برای انجام موفقیت آمیز کار چاپ کنترل داشته باشد. این احتمالاً دنباله را محکم می کند و اسپولر را کمتر در برابر نفوذ آسیب پذیر می کند."
