Bất chấp nhiều nỗ lực của Microsoft để vá thành công PrintNightmare, nó vẫn chưa kết thúc. Giờ đây, một lỗ hổng PrintNightmare Print Spooler khác của Windows 10 đã được phát hiện và đó là thu hút những kẻ tấn công ransomware đang tìm cách truy cập dễ dàng vào các đặc quyền hệ thống.
Microsoft đã phát hành nhiều bản vá trong suốt tháng 7 và tháng 8 để giải quyết lỗ hổng bảo mật và điều chỉnh quy trình mà người dùng có thể cài đặt trình điều khiển máy in. Tuy nhiên, các nhà nghiên cứu vẫn tìm ra giải pháp để khởi động một cuộc tấn công thông qua lỗ hổng Print Spooler mới hơn, có tên là CVE-2021-36958.
Từ một bài đăng trong Trung tâm Phản hồi Bảo mật của Microsoft, Microsoft mô tả lỗ hổng bảo mật:“ Một lỗ hổng thực thi mã từ xa tồn tại khi dịch vụ Windows Print Spooler thực hiện không đúng các hoạt động tệp đặc quyền. Kẻ tấn công đã khai thác thành công lỗ hổng này có thể chạy mã tùy ý với các đặc quyền của HỆ THỐNG. Kẻ tấn công sau đó có thể cài đặt các chương trình; xem, thay đổi hoặc xóa dữ liệu; hoặc tạo tài khoản mới với đầy đủ quyền của người dùng. ”
Microsoft cũng liệt kê giải pháp cho lỗ hổng bảo mật là“ dừng và vô hiệu hóa dịch vụ Print Spooler. ” Kẻ tấn công sẽ cần các đặc quyền của quản trị viên để cài đặt các trình điều khiển máy in cần thiết; Tuy nhiên, nếu trình điều khiển đã được cài đặt, các đặc quyền đó không cần thiết để kết nối máy in. Hơn nữa, trình điều khiển trên máy khách không bắt buộc phải được cài đặt, vì vậy lỗ hổng vẫn còn, tốt, dễ bị tấn công trong bất kỳ trường hợp nào người dùng kết nối với máy in từ xa.
Những kẻ tấn công ransomware, tự nhiên, đang tận dụng tối đa lợi thế của khai thác, theo Bleeping Computer . Magniber, một nhóm ransomware, gần đây được CrowdStrike báo cáo đã được phát hiện trong nỗ lực khai thác các lỗ hổng chưa được vá đối với các nạn nhân Hàn Quốc.
Chưa có thông tin nào — từ Microsoft hoặc nơi khác — về việc liệu lỗ hổng PrintNightmare có nằm trong tay hay không. Trên thực tế, CrowdStrike ước tính “rằng lỗ hổng PrintNightmare cùng với việc triển khai ransomware có thể sẽ tiếp tục bị các tác nhân đe dọa khác khai thác. ”
qua Windows Central
