Microsoft đã bắt đầu phát hành các bản cập nhật bảo mật khẩn cấp để khắc phục bị tiết lộ công khai trong chức năng in của Windows. Lỗ hổng này có thể cho phép kẻ tấn công kiểm soát hoàn toàn các hệ thống mục tiêu.
Lỗ hổng được định danh CVE-2021-34527, nằm trong dịch vụ Windows Print Spooler và các mã khai thác công khai cho lỗ hổng này đang được cải tiến liên tục. Các tổ chức được khuyến khích triển khai các lỗi càng sớm càng tốt hoặc vô hiệu hóa tính năng in từ xa đến cho đến khi các bản vá lỗi có thể được áp dụng.
Bản cập nhật hàng tháng vào tháng 6/2021 của Microsoft bao gồm bản vá cho một lỗ hổng khác trong dịch vụ Windows Print Spooler được định danh là CVE-2021-1675, ban đầu được mô tả là vấn đề leo thang đặc quyền cục bộ (LPE). Phát hiện ra lỗ hổng bảo mật được ghi nhận là các chuyên gia Zhipeng Huo của Tencent Security, Piotr Madej của Afine và Yunhai Zhang của Nsfocus.
Vào ngày 29/6/2021, hai nhà nghiên cứu bảo mật Zhiniang Peng và Xuefeng Li từ Sangfor đã công bố một phân tích về CVE-2021-1675, trong đó họ chứng minh rằng lỗ hổng cũng có thể được khai thác để thực thi mã từ xa (RCE) chứ không chỉ leo thang đặc quyền. Các nhà nghiên cứu cho biết họ cũng đã phát hiện ra lỗ hổng một cách độc lập trước khi nó được báo cáo cho Microsoft như một phần của phân tích bảo mật lớn hơn về chức năng in của Windows. Cả hai dự định sẽ trình bày những phát hiện của họ, bao gồm các lỗ hổng bổ sung, tại hội nghị bảo mật BlackHat USA sắp tới, trong một buổi nói chuyện có tiêu đề "Diving Into Spooler: Khám phá các lỗ hổng LPE và RCE trong Windows Printer".
Điều mà các nhà nghiên cứu Sangfor đã không nhận ra khi họ đăng bản phân tích CVE-2021-1675 RCE của mình dưới tên PrintNightmare, đó là họ thực sự đang mô tả một lỗ hổng khác nhìn rất giống, nhưng cuối cùng có khác biệt khi khai thác nên bản vá tháng 6 của Microsoft không thể vá lỗ hổng này. Microsoft đã xem xét báo cáo của họ và cập nhật CVE-2021-1675 để mô tả nó là một lỗ hổng RCE thay vì LPE và cũng tạo một bản ghi mới cho lỗ hổng PrintNightmare mới, gán cho nó định danh CVE-2021-34527.
Zhiniang Peng và Xuefeng Li đã gỡ bỏ mã khai thác của họ khi nhận ra sự nhầm lẫn về lỗ hổng, nhưng đã quá muộn và các nhà nghiên cứu khác bắt đầu phân tích và mở rộng về nó. Hiện có ít nhất ba cách khai thác công khai cho lỗ hổng này và một số có thêm vectơ tấn công.
Khai thác ban đầu đã sử dụng Giao thức từ xa cho hệ thống in (Print System Remote Protocol - MS RPRN), giới hạn việc khai thác đối với các máy chủ Windows được cấu hình máy chủ quản lý miền Active Directory hoặc máy Windows 10 với các tuỳ chỉnh khác mặc định như: User Account Control (UAC) bị vô hiệu hóa hoặc tuỳ chọn PointAndPrint NoWarningNoElevationOnInstall được bật.
Sau đó, một nhà nghiên cứu khác được biết đến trên mạng có tên Cube0x0 đã tìm ra cách khai thác cũng có thể được sử dụng thông qua Giao thức từ xa bất đồng bộ cho hệ thống In (Print System Asynchronous Remote Protocol - MS PAR). Theo nhà phát triển Mimikatz, Benjamin Delpy, điều này giúp cho việc khai thác PrintNightmare có thể hoạt động trên nhiều máy Windows có cấu hình mặc định hơn, không chỉ máy chủ quản lý miền Active Directory. Delpy đã triển khai chức năng trong Mimikatz, một công cụ mã nguồn mở phổ biến với những người kiểm tra thâm nhập cũng như tin tặc độc hại.
Với thông tin công khai về lỗ hổng và mã khai thác ban đầu, các nhà nghiên cứu bảo mật tin rằng chỉ còn là vấn đề thời gian cho đến khi những khai thác này sẽ được sử dụng trong tự nhiên, nếu chúng chưa được sử dụng. Các chuyên gia của Microsoft nói rằng tất cả các phiên bản Windows đều bị ảnh hưởng và việc khai thác lỗ hổng này đã được phát hiện.
Microsoft đã phát hành các bản vá lỗi Patch Tuesday cho một số lượng lớn các phiên bản Windows bị ảnh hưởng, nhưng chưa có cho Windows 10 1607, Windows Server 2012 và Windows Server 2016. Ngoài ra, các nhà nghiên cứu từ 0patch.com đã phát hành các bản vá miễn phí cho các phiên bản Windows bị thiếu và bảo vệ chống lại tất cả các vectơ tấn công hiện đã biết.
Theo khuyến cáo của các Trung tâm Điều phối, các bản cập nhật có sẵn từ Microsoft chỉ giảm thiểu các biến thể thực thi mã từ xa của các khai thác chứ không phải các biến thể leo thang đặc quyền cục bộ. Đó là lý do tại sao các nhà phân tích CERT/CC cũng khuyên người dùng nên áp dụng các cách giải quyết thủ công sau do Microsoft đề xuất:
Giải pháp tạm thời 1: Vô hiệu hoá dịch vụ Print Spooler
Sử dụng các lệnh Powershell sau để vô hiệu hoá dịch vụ Print Spooler:
Stop-Service -Name Spooler -Force
Set-Service -Name Spooler -StartupType Disabled
Giải pháp tạm thời 2: Tắt tính năng in từ xa đến thông qua Group Policy
Thao tác theo các bước sau để tắt tính năng in từ xa thông qua Group Policy: Truy cập Computer Configuration / Administrative Templates / Printers; Tắt tuỳ chọn “Allow Print Spooler to accept client connections” để chặn tấn công từ xa; Khởi động lại dịch vụ Print Spooler để nhận cấu hình từ Group Policy.
Tác động của giải pháp tạm thời: Chính sách này sẽ chặn vectơ tấn công từ xa bằng cách ngăn các hoạt động in từ xa đến. Hệ thống sẽ không còn hoạt động như một máy chủ in, nhưng vẫn có thể gửi lệnh in tới máy in được gắn trực tiếp.
Đăng Thứ
09:00 | 01/04/2021
07:00 | 04/11/2019
09:00 | 15/06/2021
10:00 | 26/04/2021
10:00 | 19/08/2024
Công ty an ninh mạng Fortra (Hoa Kỳ) đã đưa ra cảnh báo về một lỗ hổng mới nghiêm trọng được phát hiện trên Windows có thể gây ra hiện tượng “màn hình xanh chết chóc”, đe dọa đến dữ liệu và hệ thống của hàng triệu người dùng.
10:00 | 23/07/2024
Ngày 19/7, dịch vụ đám mây Azure, Microsoft 365 và Teams của Microsoft gặp trục trặc khiến hàng nghìn chuyến bay trên toàn cầu bị hoãn, hủy và gây gián đoạn hoạt động tại nhiều sân bay. Nguyên nhân vấn đề được cho là xuất phát từ lỗi trong hệ thống của Công ty an ninh mạng toàn cầu CrowdStrike (Mỹ) - đối tác của Microsoft. Đây được coi là sự cố lớn nhất trong lịch sử với mức độ ảnh hưởng sâu rộng từ giao thông vận tải, ngân hàng đến an ninh, y tế...
10:00 | 27/05/2024
Nhóm nghiên cứu mối đe dọa Capture Labs của hãng bảo mật SonicWall (Mỹ) đã phát hiện một chiến dịch đánh cắp thông tin đăng nhập nhắm đến người dùng Android bằng cách phân phối ứng dụng độc hại giả mạo các nền tảng như Google, Instagram, Snapchat, WhatsApp và X (trước đây là Twitter).
10:00 | 08/05/2024
Mới đây, một lỗ hổng nghiêm trọng định danh CVE-2024-31497 được phát hiện trong PuTTY - ứng dụng client SSH phổ biến dành cho Windows làm rò rỉ khóa riêng.
Cục Điều tra Liên bang Mỹ (FBI) mới đây đã đưa ra thông báo về sự cố gián đoạn cơ sở hạ tầng trực tuyến liên quan đến một nhóm tin tặc mã độc tống tiền mới nổi có tên là Dispossessor. Trong một nỗ lực nhằm giảm thiểu rủi ro do nhóm tội phạm này gây ra, FBI đã thu giữ 03 máy chủ tại Mỹ, 03 máy chủ tại Anh, 18 máy chủ tại Đức, 08 tên miền tại Mỹ và 01 tên miền tại Đức.
21:00 | 29/08/2024