Walaupun terdapat banyak percubaan Microsoft untuk berjaya menampal PrintNightmare, masih belum berakhir. Sekarang, kelemahan Windows 10 PrintNightmare Print Spooler telah ditemui, dan ia menarik ransomware penyerang mencari akses mudah ke hak istimewa sistem.
Microsoft melancarkan banyak tambalan sepanjang bulan Julai dan Ogos yang menangani kerentanan dan menyesuaikan proses dengan mana pengguna dapat memasang baru pemacu pencetak. Walau bagaimanapun, penyelidik masih menemui jalan keluar untuk melancarkan serangan melalui kerentanan Print Spooler yang lebih baru, yang dijuluki CVE-2021-36958.
Dari posting di Pusat Tindak Balas Keselamatan Microsoft, Microsoft menjelaskan kerentanan:”Kerentanan pelaksanaan kod jarak jauh ada ketika layanan Windows Print Spooler dengan tidak betul melakukan operasi file istimewa. Penyerang yang berjaya memanfaatkan kerentanan ini dapat menjalankan kod sewenang-wenangnya dengan hak istimewa SISTEM. Penyerang kemudian boleh memasang program; melihat, menukar, atau memadam data; atau buat akaun baru dengan hak pengguna penuh.”
Microsoft juga menyenaraikan jalan keluar untuk kelemahan tersebut sebagai”menghentikan dan mematikan perkhidmatan Print Spooler.”Penyerang memerlukan hak pentadbir untuk memasang pemacu pencetak yang diperlukan; jika pemacu sudah terpasang, hak istimewa tersebut tidak diperlukan untuk menyambungkan pencetak. Tambahan pula, pemacu pada klien tidak perlu dipasang, jadi kerentanan tetap, baik, rentan dalam keadaan di mana pengguna menyambung ke pencetak jarak jauh.
Penyerang ransomware, secara semula jadi, memanfaatkan sepenuhnya eksploitasi, menurut Bleeping Computer . Magniber, kumpulan ransomware, baru-baru ini dilaporkan oleh CrowdStrike telah ditemui dalam usaha untuk mengeksploitasi kerentanan yang tidak dapat ditandingi terhadap korban Korea Selatan.
Masih belum ada berita β dari Microsoft atau di tempat lain β mengenai apakah kerentanan PrintNightmare ada di tangan. Sebenarnya, CrowdStrike menganggarkan “bahawa kerentanan PrintNightmare ditambah dengan penggunaan ransomware kemungkinan akan terus dieksploitasi oleh pelaku ancaman lain. β
melalui Windows Central
