PrintNightmare của công ty còn lâu mới kết thúc
Sau nhiều lần cố gắng sửa một loạt lỗ hổng còn được gọi là “PrintNightmare”, Microsoft
vẫn chưa cung cấp giải pháp lâu dài không liên quan đến việc dừng và vô hiệu hóa dịch
vụ Print Spooler trong Windows. Công ty hiện đã thừa nhận một lỗi khác lần đầu tiên được
phát hiện cách đây 8 tháng và các nhóm ransomware đang bắt đầu tận dụng sự hỗn loạn.
Print Spooler an ninh cơn ác mộng vẫn chưa kết thúc cho Microsoft – công ty đã phải vấn đề
một bản vá sau khi khác để điều sửa chữa, và bao gồm các bản cập nhật Patch Tuesday của
tháng này.
Trong một tư vấn bảo mật mới, công ty đã thừa nhận sự tồn tại của một lỗ hổng bảo mật khác
trong dịch vụ Windows Print Spooler. Lỗi này được nộp theo CVE-2021-36958 và tương tự như
các lỗi đã phát hiện trước đây mà hiện được gọi chung là “PrintNightmare”, có thể được sử dụng
để lạm dụng cài đặt cấu hình nhất định và khả năng cài đặt trình điều khiển máy in của người dùng
có đặc quyền hạn chế sau đó có thể chạy với mức đặc quyền tối đa có thể trong Windows.
Như Microsoft giải thích trong phần tư vấn bảo mật, kẻ tấn công có thể khai thác một lỗ hổng trong
cách dịch vụ Windows Print Spooler thực hiện các hoạt động tệp đặc quyền để về cơ bản có được
quyền truy cập cấp hệ thống và phá hoại hệ thống. Giải pháp thay thế một lần nữa là dừng và vô hiệu
hóa hoàn toàn dịch vụ Print Spooler.
Lỗ hổng mới được phát hiện bởi Benjamin Delpy, người tạo ra công cụ khai thác Mimikatz, trong khi
kiểm tra xem liệu bản vá mới nhất của Microsoft có giải quyết được PrintNightmare hay không.
Delpy nhận thấy rằng mặc dù công ty đã làm điều đó để Windows hiện yêu cầu đặc quyền quản trị viên
để cài đặt trình điều khiển máy in, nhưng người ta không cần những đặc quyền đó để kết nối với máy in
nếu trình điều khiển đã được cài đặt. Hơn nữa, lỗ hổng Print Spooler vẫn để ngỏ để tấn công khi ai đó
kết nối với máy in từ xa.
Điều đáng chú ý là Microsoft cung cấp tín dụng cho việc tìm ra lỗi này cho Victor Mata của FusionX, Accenture
Security, người cho biết anh ta đã báo cáo vấn đề vào tháng 12 năm 2020. Thậm chí, đáng quan tâm hơn là
bằng chứng về khái niệm khai thác PrintNightmare trước đây của Delpy vẫn hoạt động sau khi áp dụng Bản
vá tháng 8 Thứ ba.
Bleeping Computer báo cáo rằng PrintNightmare đang nhanh chóng trở thành một công cụ được lựa chọn
cho các băng đảng ransomware, những kẻ hiện đang nhắm mục tiêu vào các máy chủ Windows để cung cấp
ransomware Magniber cho các nạn nhân Hàn Quốc. CrowdStrike cho biết họ đã ngăn chặn một số nỗ lực,
nhưng cảnh báo rằng đây có thể chỉ là bước khởi đầu của các chiến dịch tiếp cận rộng rãi hơn.
Nhật Đức | Theo: TechSpot
