çünkü güvenlik açığı bulunan yazdırma hizmeti, herhangi bir saldırgan için en çok aranan hedef olan Windows Etki Alanı Sunucuları (Windows Domain Servers) için varsayılan olarak etkinleştirilmiştir. Etki alanı denetleyicisi, kullanıcı hesabı bilgilerini depolayan ve güvenlik kimlik doğrulama isteklerini kontrol eden bilişim altyapısının omurgasıdır. Bu bilgilere erişim, saldırganların yönetici düzeyinde ayrıcalıklarla uzaktan kod yürütmesine izin verebilir.

Güvenlik açıkları CVE-2021-1675 ve CVE-2021-34527 olarak isimlendirildi. CVE-2021-1675 ile ilgili yamanın Windows Yazdırma Biriktiricisi'nde bir dizi sorunu kapsadığını düşünen araştırmacılar tarafından kanıt olarak Exploit kaynak kodu herkese açık olarak yayınlandı ve ardından hemen geri çekildi fakat çoktan kopyalanmıştı bile ve sorun bu nedenle daha da arttı.

PrintNightmare Güvenlik Açığı nasıl çalışır

CVE-2021-34527'de açıklanan güvenlik açığında faydalanmak oldukça kolaydır. Düşük düzeyde erişime sahip bir kullanıcı, Yazdırma Biriktiricisi hizmetinin (Print Spooler) etkinleştirildiği bir sistemde bulunan paylaşılan bir klasöre kötü amaçlı bir DLL dosyası yükler sonrasında, kullanıcı, yükseltilmiş ayrıcalıklar sağlayarak DLL'yi yürüterek exploiti etkinleştirir. Exploitin hedeflenen bir sistemde çalışması için gerekli iki ön koşul vardır.

1. Saldırgan tarafından kullanılabilecek, düşük seviye erişimli kullanıcı kimlik bilgileri

2. Yazdırma biriktiricisi (Print Spooler) hizmeti - etkin olmalı

Yazdırma Biriktiricisi hizmeti, Windows ekosisteminde yaygın olarak kullanılan bir hizmettir ve diğer şeylerin yanı sıra uzaktan yazdırma hizmetleri sağlamak için kullanılır. Örneğin aşağıdaki kodun çalıştırılması etkisi oldukça ciddi sonuçlara yolaçan bir eylemi tetikleyecektir.

Yazdırma biriktiricisi (Print Spooler) etkin olan Windows sistemleri, uygun bir yama bulunana kadar tehlike altındadır , şu ana kadar açığın kaç sistemde kullanıldığı bilinmiyor fakat Microsoftun tahminine göre Saldırı sayısı hızla artmış. Herhangi bir saldırgan için en çok aranan hedef Etki Alanı Denetleyicileri (Domain Controllers) olduğundan risk yüksektir. Etki alanı denetleyicisi, kimlik doğrulama isteklerine yanıt veren ve bilgisayar ağlarındaki kullanıcıları doğrulayan bir sunucudur ilaveten farklı erişim haklarına sahip kullanıcıların ortak bir ortamda kaynakları kullanmalarına izin verir ve Paylaşımlı klasör erişim haklarından yazıcılara ve bağlantı hizmetlerine kadar birçok hizmeti yönetir.

PrintNightmare açığı nasıl engelenir

Yama bulunana kadar, açığı önlemenin tek yolu, Yazdırma Biriktiricisi hizmetini (Print Spooler) kısıtlamak veya devre dışı bırakmaktır. Bu sistemin yazdırma işlevselliğini engellesede açığın ciddiyeti sebebiyle uygulanması gerekir. Microsoft/ICS-CERT'ye göre açığı engellemek için iki seçenek mevcut:

1. Güvenlik açığı bulunan Print spooler tamamen devre dışı bırakın ; bunun için Komut istemini yönetici yetkilerinde çalıştırıp aşağıdaki komutlarda ilk ikisini sırayla uygulamanız gerekir.

net stop Spooler
sc config Spooler start= disabled

Komutlar uygulandığında aşağıdaki gibi bir çıktı verecektir.

Aynı işlemi Powershell ile yapmak istiyorsanız öncelikle Yönetici Yetkilerinde çalıştırın ardından aşağıdaki komutları kullanmanız gerekir.

Stop-Service -Name Spooler -Force
Set-Service -Name Spooler -StartupType Disabled

Sonrasında Print Spooler servisinin başlangıç Otomatik ve Hizmet durumunu Çalışıyor haline getirmek için aşağıdaki ilk iki kodu kullanmanız yeterlidir, üçüncü kod başlangıç türünü "Elle" haline getirecektir.

sc config Spooler start= auto
net start Spooler
sc config Spooler start= demand

Kodlar kullanıldığında aşağıdaki çıktıyı vereceklerdir.

Aynı işlemi Powershell ile yapmak istiyorsanız Yönetici ytkilerinde çalıştırılmış bir POwershell konsolunda aşağıdaki komutları kullanmanız gerekir

Set-Service -Name Spooler -StartupType Automatic
Start-Service -Name Spooler

2. Uzaktan yazdırmayı devre dışı bırakın ; bunun için aşağıdaki registry kaydını kullanmanız yeterlidir.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint]
"NoWarningNoElevationOnInstall"=dword:00000000
"UpdatePromptSettings"=dword:00000000

Eğer üstteki registry anahtarları sizde mevcut ve her ikiside "1" değerini almış ise Yerel grup ilkesi düzenleyicisini çalıştırın Bilgisayar yapılandırması - Yönetim şablonları - Yazıcılar - İşaretle ve yazdır sınırlamaları kısmına tıklayın.

Ardından açılan pencerede Etkin kısmını seçip ayarları aşağıdaki resimde gösterildiği gibi yapmanız gerekir.

Windows Yazdırma Biriktiricisi güvenlik açığı, yaygın olarak kullanılan sistemlere yönelik açıkların nekadar tehlikeli olduğunu göstermektedir.

- USB portlarını ve CD-DVDrom u engelleyin Burada

- Bir tıkla Meltdown ve Spectre açığını tespit edin Burada

- Meltdown ve Spectre açıkları nedir nasıl korunuruz Burada

- Opera Kripto Para Madencilik Koruması Burada

- Intel işlemcimizde güvenlik açığı varmı bulalım Burada

- SMBv1 Protokolünü bir tıkla devre dışı bırakalım Burada

- Windows 10 da SMBv2 nasıl devre dışı bırakılır Burada

- Powershell ile windows özelliklerini açıp kapatmak Burada

- Intel Turbo boost teknolojisi nasıl kapatılır Burada

- Nvidia Grafik Sürücüsündeki Telemetry yi engelleme Burada