Meskipun Microsoft telah melakukan berbagai upaya untuk berhasil menambal PrintNightmare, itu masih belum berakhir. Sekarang, kerentanan Windows 10 PrintNightmare Print Spooler lainnya telah ditemukan, dan menarik ransomware penyerang yang mencari akses mudah ke hak istimewa sistem.
Microsoft merilis beberapa patch sepanjang Juli dan Agustus untuk mengatasi kerentanan dan menyesuaikan proses di mana pengguna dapat menginstal baru driver pencetak. Namun, peneliti masih menemukan solusi untuk meluncurkan serangan melalui kerentanan Print Spooler yang lebih baru, dijuluki CVE-2021-36958.
Dari posting di Pusat Respons Keamanan Microsoft, Microsoft menjelaskan kerentanan: “Kerentanan eksekusi kode jarak jauh muncul saat layanan Windows Print Spooler melakukan operasi file yang diistimewakan secara tidak benar. Penyerang yang berhasil mengeksploitasi kerentanan ini dapat menjalankan kode arbitrer dengan hak istimewa SISTEM. Penyerang kemudian dapat menginstal program; melihat, mengubah, atau menghapus data; atau buat akun baru dengan hak pengguna penuh.”
Microsoft juga mencantumkan solusi untuk kerentanan sebagai “menghentikan dan menonaktifkan layanan Print Spooler.” Penyerang akan memerlukan hak admin untuk menginstal driver printer yang diperlukan; jika driver sudah diinstal, namun, hak istimewa tersebut tidak diperlukan untuk menghubungkan printer. Selain itu, driver pada klien tidak perlu diinstal, sehingga kerentanan tetap, yah, rentan dalam setiap kasus di mana pengguna terhubung ke printer jarak jauh.
Penyerang ransomware, tentu saja, mengambil keuntungan penuh dari eksploitasi, menurut Bleeping Computer. Magniber, grup ransomware, baru-baru ini dilaporkan oleh CrowdStrike telah ditemukan dalam upaya untuk mengeksploitasi kerentanan yang belum ditambal terhadap korban Korea Selatan.
Belum ada kabar—dari Microsoft atau tempat lain—mengenai apakah kerentanan PrintNightmare ada di tangan. Faktanya, CrowdStrike memperkirakan “bahwa kerentanan PrintNightmare ditambah dengan penyebaran ransomware kemungkinan akan terus dieksploitasi oleh pelaku ancaman lainnya.”
via Windows Central