แม้จะมีความพยายามหลายครั้งของ Microsoft เพื่อแก้ไข PrintNightmare ให้สำเร็จ ยังไม่จบ ขณะนี้ ช่องโหว่ Windows 10 PrintNightmare Print Spooler ถูกเปิดเผยแล้ว และนี่คือ ดึงดูดผู้โจมตี ransomware ที่มองหาการเข้าถึงสิทธิ์ของระบบอย่างง่ายดาย
Microsoft ออกแพตช์หลายตัวตลอดเดือนกรกฎาคมและสิงหาคมเพื่อจัดการกับช่องโหว่และปรับกระบวนการที่ผู้ใช้สามารถติดตั้งใหม่ได้ ไดรเวอร์เครื่องพิมพ์ อย่างไรก็ตาม นักวิจัยยังคงพบวิธีแก้ปัญหาเพื่อเริ่มการโจมตีผ่านช่องโหว่ Print Spooler ที่ใหม่กว่า ซึ่งมีชื่อว่า CVE-2021-36958
จาก โพสต์ใน Microsoft Security Response Center Microsoft อธิบายถึงช่องโหว่ดังกล่าวว่า “มีช่องโหว่ในการเรียกใช้โค้ดจากระยะไกลเมื่อบริการ Windows Print Spooler ดำเนินการกับไฟล์ที่มีสิทธิพิเศษอย่างไม่เหมาะสม ผู้โจมตีที่ประสบความสำเร็จในการใช้ประโยชน์จากช่องโหว่นี้สามารถเรียกใช้รหัสโดยอำเภอใจด้วยสิทธิ์ของระบบ ผู้โจมตีสามารถติดตั้งโปรแกรมได้ ดู เปลี่ยนแปลง หรือลบข้อมูล หรือสร้างบัญชีใหม่ที่มีสิทธิ์ผู้ใช้เต็มรูปแบบ”
Microsoft ยังระบุวิธีแก้ปัญหาชั่วคราวสำหรับช่องโหว่ดังกล่าวด้วย “การหยุดและปิดใช้งานบริการ Print Spooler” ผู้โจมตีจะต้องมีสิทธิ์ของผู้ดูแลระบบเพื่อติดตั้งไดรเวอร์เครื่องพิมพ์ที่จำเป็น หากติดตั้งไดรเวอร์แล้ว สิทธิ์ดังกล่าวไม่จำเป็นในการเชื่อมต่อเครื่องพิมพ์ นอกจากนี้ ไม่จำเป็นต้องติดตั้งไดรเวอร์ในไคลเอนต์ ดังนั้นช่องโหว่ยังคงมีอยู่ มีความเสี่ยงในทุกกรณีที่ผู้ใช้เชื่อมต่อกับเครื่องพิมพ์ระยะไกล
โดยธรรมชาติแล้วผู้โจมตี Ransomware ใช้ประโยชน์จาก หาประโยชน์ตาม Bleeping Computer Magniber กลุ่มแรนซัมแวร์เพิ่งรายงานโดย CrowdStrike ว่าถูกค้นพบแล้ว ในความพยายามที่จะใช้ประโยชน์จากช่องโหว่ที่ไม่ได้รับการแก้ไขกับเหยื่อชาวเกาหลีใต้
ยังไม่มีคำใดจาก Microsoft หรือที่อื่นเกี่ยวกับช่องโหว่ของ PrintNightmare ในมือหรือไม่ อันที่จริง CrowdStrike ประมาณการ “ช่องโหว่ของ PrintNightmare ควบคู่ไปกับการใช้งาน แรนซัมแวร์มีแนวโน้มที่จะถูกโจมตีโดยผู้คุกคามรายอื่นต่อไป”
ผ่าน Windows Central