Microsoft thừa nhận một lỗ hổng bộ đệm in khác

PrintNightmare của công ty còn lâu mới kết thúc

 

Sau nhiều lần cố gắng sửa một loạt lỗ hổng còn được gọi là “PrintNightmare”, Microsoft

vẫn chưa cung cấp giải pháp lâu dài không liên quan đến việc dừng và vô hiệu hóa dịch

vụ Print Spooler trong Windows. Công ty hiện đã thừa nhận một lỗi khác lần đầu tiên được

phát hiện cách đây 8 tháng và các nhóm ransomware đang bắt đầu tận dụng sự hỗn loạn.

 

Print Spooler an ninh cơn ác mộng vẫn chưa kết thúc cho Microsoft – công ty đã phải vấn đề

một bản   sau khi khác để điều sửa chữa, và bao gồm các bản cập nhật Patch Tuesday của

tháng này.

 

Trong một tư vấn bảo mật mới, công ty đã thừa nhận sự tồn tại của một lỗ hổng bảo mật khác

trong dịch vụ Windows Print Spooler. Lỗi này được nộp theo CVE-2021-36958 và tương tự như

các lỗi đã phát hiện trước đây mà hiện được gọi chung là “PrintNightmare”, có thể được sử dụng

để lạm dụng cài đặt cấu hình nhất định và khả năng cài đặt trình điều khiển máy in của người dùng

có đặc quyền hạn chế sau đó có thể chạy với mức đặc quyền tối đa có thể trong Windows.

 

Như Microsoft giải thích trong phần tư vấn bảo mật, kẻ tấn công có thể khai thác một lỗ hổng trong

cách dịch vụ Windows Print Spooler thực hiện các hoạt động tệp đặc quyền để về cơ bản có được

quyền truy cập cấp hệ thống và phá hoại hệ thống. Giải pháp thay thế một lần nữa là dừng và vô hiệu

hóa hoàn toàn dịch vụ Print Spooler.

Lỗ hổng mới được phát hiện bởi Benjamin Delpy, người tạo ra công cụ khai thác Mimikatz, trong khi

kiểm tra xem liệu bản vá mới nhất của Microsoft có giải quyết được PrintNightmare hay không.

 

Delpy nhận thấy rằng mặc dù công ty đã làm điều đó để Windows hiện yêu cầu đặc quyền quản trị viên

để cài đặt trình điều khiển máy in, nhưng người ta không cần những đặc quyền đó để kết nối với máy in

nếu trình điều  khiển đã được cài đặt. Hơn nữa, lỗ hổng Print Spooler vẫn để ngỏ để tấn công khi ai đó

kết nối với máy in từ xa.

 

Điều đáng chú ý là Microsoft cung cấp tín dụng cho việc tìm ra lỗi này cho Victor Mata của FusionX, Accenture

Security, người cho biết anh ta đã báo cáo vấn đề vào tháng 12 năm 2020. Thậm chí, đáng quan tâm hơn là 

bằng chứng về khái niệm khai thác PrintNightmare trước đây của Delpy vẫn hoạt động sau khi áp dụng Bản

vá tháng 8 Thứ ba.

 

Bleeping Computer báo cáo rằng PrintNightmare đang nhanh chóng trở thành một công cụ được lựa chọn

cho các băng đảng ransomware, những kẻ hiện đang nhắm mục tiêu vào các máy chủ Windows để cung cấp

ransomware Magniber cho các nạn nhân Hàn Quốc. CrowdStrike cho biết họ đã ngăn chặn một số nỗ lực,

nhưng cảnh báo rằng đây có thể chỉ là bước khởi đầu của các chiến dịch tiếp cận rộng rãi hơn.

 

 

 

 

Nhật Đức | Theo: TechSpot

Contact Me on Zalo
0908.69.77.86