Microsoft hôm thứ Năm đã chính thức xác nhận rằng “InCơn Ác Mộng“Lỗ hổng thực thi mã từ xa (RCE) ảnh hưởng đến Windows Print Spooler khác với vấn đề mà công ty đã giải quyết như một phần của bản cập nhật Patch Tuesday được phát hành vào đầu tháng này, đồng thời cảnh báo rằng họ đã phát hiện ra các nỗ lực khai thác nhắm vào lỗ hổng.
Công ty đang theo dõi điểm yếu bảo mật theo mã định danh CVE-2021-34527 và đã xếp hạng mức độ nghiêm trọng là 8,8 trên hệ thống chấm điểm CVSS. Tất cả các phiên bản Windows đều chứa mã dễ bị tấn công và dễ bị khai thác.
“Lỗ hổng thực thi mã từ xa tồn tại khi dịch vụ Windows Print Spooler thực hiện không đúng cách các hoạt động của tệp đặc quyền”, Microsoft cho biết trong lời khuyên của mình. “Kẻ tấn công đã khai thác thành công lỗ hổng này có thể chạy mã tùy ý với các đặc quyền HỆ THỐNG. Sau đó, kẻ tấn công có thể cài đặt chương trình; xem, thay đổi hoặc xóa dữ liệu; hoặc tạo tài khoản mới với đầy đủ quyền của người dùng.”
“Một cuộc tấn công phải liên quan đến một người dùng được xác thực đang gọi RpcAddPrinterDriverEx(),” công ty có trụ sở tại Redmond cho biết thêm. Khi được The Hacker News liên hệ, công ty cho biết họ không có gì để chia sẻ ngoài lời khuyên.
Sự thừa nhận được đưa ra sau khi các nhà nghiên cứu từ công ty an ninh mạng Sangfor có trụ sở tại Hồng Kông đã công bố bản phân tích kỹ thuật sâu về lỗ hổng RCE của Print Spooler cho GitHub, cùng với mã PoC hoạt động hoàn chỉnh, trước khi nó bị gỡ xuống chỉ vài giờ sau khi nó xuất hiện.
Các tiết lộ cũng đặt ra suy đoán và tranh luận về việc liệu bản vá tháng 6 có hay không bảo vệ chống lại lỗ hổng RCE, với Trung tâm điều phối CERT lưu ý rằng “mặc dù Microsoft đã phát hành bản cập nhật cho CVE-2021-1675, nhưng điều quan trọng là phải nhận ra rằng bản cập nhật này KHÔNG bảo vệ bộ điều khiển miền Active Directory hoặc các hệ thống đã định cấu hình Điểm và In với tùy chọn NoWarningNoElevationOnInstall được định cấu hình.”
Trở thành Chuyên gia ứng phó sự cố!
Mở khóa các bí mật để ứng phó với sự cố chống đạn – Nắm vững quy trình 6 Giai đoạn với Asaf Perlman, Trưởng nhóm IR của Cynet!
Đừng bỏ lỡ – Tiết kiệm chỗ ngồi của bạn!
CVE-2021-1675, ban đầu được phân loại là lỗ hổng nâng cao đặc quyền và sau đó được sửa đổi thành RCE, đã được Microsoft khắc phục vào ngày 8 tháng 6 năm 2021.
Trong phần tư vấn của mình, công ty đã lưu ý rằng PrintNightmare khác với CVE-2021-1675 vì lý do là cái sau giải quyết một lỗ hổng riêng trong RpcAddPrinterDriverEx() và vectơ tấn công là khác.
Như một giải pháp thay thế, Microsoft khuyến nghị người dùng tắt dịch vụ Bộ đệm máy in hoặc tắt tính năng in từ xa gửi đến thông qua Chính sách nhóm. Để giảm bề mặt tấn công và là một giải pháp thay thế cho việc vô hiệu hóa hoàn toàn tính năng in, công ty cũng khuyên nên kiểm tra tư cách thành viên và tư cách thành viên nhóm lồng nhau, đồng thời giảm tư cách thành viên càng nhiều càng tốt hoặc làm trống hoàn toàn các nhóm nếu có thể.
