Xuất hiện lỗi zero-day mới của dịch vụ in trên Windows

19/07/2021 15:52 GMT+7

Sau khi lỗ hổng PrintNightmare được vá thì tiếp tục có thêm một lỗ hổng khác xuất hiện cũng với dịch vụ in của Windows.

Theo BleepingComputer, một lỗ hổng zero-day khác trong Windows Print Spooler có thể cung cấp đặc quyền quản trị cho tác nhân đe dọa trên máy Windows thông qua máy chủ từ xa dưới sự kiểm soát của kẻ tấn công và tính năng Queue-Specific Files.
Lỗ hổng này xuất hiện sau khi một nhà nghiên cứu bảo mật đã vô tình tiết lộ lỗ hổng zero-day được gọi là PrintNightmare mà Microsoft theo dõi là CVE-2021-34527 vào tháng trước. Kể từ khi bản sửa lỗi chưa hoàn thành, các nhà nghiên cứu bảo mật đã xem xét kỹ lưỡng các API in của Windows và đã tìm thấy thêm các lỗ hổng ảnh hưởng đến dịch vụ in của Windows.
Nhà nghiên cứu bảo mật và người sáng tạo Mimikatz Benjamin Delpy đã tiết lộ công khai một lỗ hổng zero-day mới cho phép kẻ đe dọa dễ dàng đạt được các đặc quyền hệ thống và kiểm soát trên máy Windows thông qua một máy chủ in từ xa. Lỗ hổng được khai thác bằng cách sử dụng tính năng Queue-Specific Files của khả năng Point and Print để tự động tải xuống và thực thi một DLL độc hại khi một máy khách kết nối với máy chủ in dưới sự kiểm soát của kẻ tấn công.
Về Queue-Specific Files, tài liệu của Microsoft giải thích: “Tại thời điểm cài đặt máy in, ứng dụng cài đặt có thể chỉ định một tập hợp tệp, thuộc bất kỳ định dạng nào, được liên kết với danh sách chờ in cụ thể.” Để khai thác lỗ hổng, nhà nghiên cứu đã tạo một máy chủ in có thể truy cập qua internet với hai máy in dùng chung sử dụng tính năng nói trên, và nếu tiến hành thực thi DLL độc hại, nó sẽ chạy với các đặc quyền của hệ thống và có thể được sử dụng để chạy bất kỳ lệnh nào trên máy tính.
Tuy nhiên nhà nghiên cứu cũng đưa ra 2 phương pháp có thể được sử dụng để giảm thiểu lỗ hổng.
Cách 1: Chặn lưu lượng SMB đi ở ranh giới mạng
Vì khai thác công khai của Delpy sử dụng máy chủ in từ xa, bạn có thể chặn lưu lượng SMB gửi đi để ngăn truy cập vào máy tính từ xa.
Tuy nhiên, MS-WPRN cũng có thể được sử dụng để cài đặt trình điều khiển mà không cần sử dụng SMB và các tác nhân đe dọa vẫn có thể sử dụng kỹ thuật này với một máy chủ máy in cục bộ.
Do đó, việc giảm thiểu này không phải là một phương pháp ngăn chặn việc khai thác an toàn.
Cách 2: Cấu hình PackagePointAndPrintServerList
Một cách tốt hơn để ngăn chặn việc khai thác này là hạn chế Point and Print trong danh sách các máy chủ được phê duyệt bằng cách sử dụng tùy chọn ‘Package Point and print - Approved servers’ của Group Policy.

Cấu hình chính sách ‘Package Point and print - Approved servers’

Ảnh chụp màn hình

Chính sách này ngăn người dùng không phải là quản trị viên cài đặt trình điều khiển in bằng Point and Print trừ khi máy chủ in nằm trong danh sách được phê duyệt.
Sử dụng chính sách nhóm này sẽ cung cấp sự bảo vệ tốt nhất chống lại việc khai thác lỗ hổng đang tồn tại.
Hiện tại Microsoft chưa đưa ra bất kỳ thông tin cũng như lời bình luận nào về lỗ hổng.
Top

Bạn không thể gửi bình luận liên tục. Xin hãy đợi
60 giây nữa.