Microsoft đã bắt đầu phát hành các bản cập nhật bảo mật khẩn cấp để khắc phục lỗ hổng thực thi mã từ xa bị tiết lộ công khai trong chức năng in của Windows. Lỗ hổng này có thể cho phép kẻ tấn công kiểm soát hoàn toàn các hệ thống mục tiêu.
Lỗ hổng được định danh CVE-2021-34527, nằm trong dịch vụ Windows Print Spooler và các mã khai thác công khai cho lỗ hổng này đang được cải tiến liên tục. Các tổ chức được khuyến khích triển khai các bản vá lỗi càng sớm càng tốt hoặc vô hiệu hóa tính năng in từ xa đến cho đến khi các bản vá lỗi có thể được áp dụng.
Bản cập nhật hàng tháng vào tháng 6/2021 của Microsoft bao gồm bản vá cho một lỗ hổng khác trong dịch vụ Windows Print Spooler được định danh là CVE-2021-1675, ban đầu được mô tả là vấn đề leo thang đặc quyền cục bộ (LPE). Phát hiện ra lỗ hổng bảo mật được ghi nhận là các chuyên gia Zhipeng Huo của Tencent Security, Piotr Madej của Afine và Yunhai Zhang của Nsfocus.
Vào ngày 29/6/2021, hai nhà nghiên cứu bảo mật Zhiniang Peng và Xuefeng Li từ Sangfor đã công bố một phân tích về CVE-2021-1675, trong đó họ chứng minh rằng lỗ hổng cũng có thể được khai thác để thực thi mã từ xa (RCE) chứ không chỉ leo thang đặc quyền. Các nhà nghiên cứu cho biết họ cũng đã phát hiện ra lỗ hổng một cách độc lập trước khi nó được báo cáo cho Microsoft như một phần của phân tích bảo mật lớn hơn về chức năng in của Windows. Cả hai dự định sẽ trình bày những phát hiện của họ, bao gồm các lỗ hổng bổ sung, tại hội nghị bảo mật BlackHat USA sắp tới, trong một buổi nói chuyện có tiêu đề "Diving Into Spooler: Khám phá các lỗ hổng LPE và RCE trong Windows Printer".
Điều mà các nhà nghiên cứu Sangfor đã không nhận ra khi họ đăng bản phân tích CVE-2021-1675 RCE của mình dưới tên PrintNightmare, đó là họ thực sự đang mô tả một lỗ hổng khác nhìn rất giống, nhưng cuối cùng có khác biệt khi khai thác nên bản vá tháng 6 của Microsoft không thể vá lỗ hổng này. Microsoft đã xem xét báo cáo của họ và cập nhật CVE-2021-1675 để mô tả nó là một lỗ hổng RCE thay vì LPE và cũng tạo một bản ghi mới cho lỗ hổng PrintNightmare mới, gán cho nó định danh CVE-2021-34527.
Zhiniang Peng và Xuefeng Li đã gỡ bỏ mã khai thác của họ khi nhận ra sự nhầm lẫn về lỗ hổng, nhưng đã quá muộn và các nhà nghiên cứu khác bắt đầu phân tích và mở rộng về nó. Hiện có ít nhất ba cách khai thác công khai cho lỗ hổng này và một số có thêm vectơ tấn công.
Khai thác ban đầu đã sử dụng Giao thức từ xa cho hệ thống in (Print System Remote Protocol - MS RPRN), giới hạn việc khai thác đối với các máy chủ Windows được cấu hình máy chủ quản lý miền Active Directory hoặc máy Windows 10 với các tuỳ chỉnh khác mặc định như: User Account Control (UAC) bị vô hiệu hóa hoặc tuỳ chọn PointAndPrint NoWarningNoElevationOnInstall được bật.
Sau đó, một nhà nghiên cứu khác được biết đến trên mạng có tên Cube0x0 đã tìm ra cách khai thác cũng có thể được sử dụng thông qua Giao thức từ xa bất đồng bộ cho hệ thống In (Print System Asynchronous Remote Protocol - MS PAR). Theo nhà phát triển Mimikatz, Benjamin Delpy, điều này giúp cho việc khai thác PrintNightmare có thể hoạt động trên nhiều máy Windows có cấu hình mặc định hơn, không chỉ máy chủ quản lý miền Active Directory. Delpy đã triển khai chức năng trong Mimikatz, một công cụ mã nguồn mở phổ biến với những người kiểm tra thâm nhập cũng như tin tặc độc hại.
Với thông tin công khai về lỗ hổng và mã khai thác ban đầu, các nhà nghiên cứu bảo mật tin rằng chỉ còn là vấn đề thời gian cho đến khi những khai thác này sẽ được sử dụng trong tự nhiên, nếu chúng chưa được sử dụng. Các chuyên gia của Microsoft nói rằng tất cả các phiên bản Windows đều bị ảnh hưởng và việc khai thác lỗ hổng này đã được phát hiện.
Microsoft đã phát hành các bản vá lỗi Patch Tuesday cho một số lượng lớn các phiên bản Windows bị ảnh hưởng, nhưng chưa có cho Windows 10 1607, Windows Server 2012 và Windows Server 2016. Ngoài ra, các nhà nghiên cứu từ 0patch.com đã phát hành các bản vá miễn phí cho các phiên bản Windows bị thiếu và bảo vệ chống lại tất cả các vectơ tấn công hiện đã biết.
Theo khuyến cáo của các Trung tâm Điều phối, các bản cập nhật có sẵn từ Microsoft chỉ giảm thiểu các biến thể thực thi mã từ xa của các khai thác chứ không phải các biến thể leo thang đặc quyền cục bộ. Đó là lý do tại sao các nhà phân tích CERT/CC cũng khuyên người dùng nên áp dụng các cách giải quyết thủ công sau do Microsoft đề xuất:
Giải pháp tạm thời 1: Vô hiệu hoá dịch vụ Print Spooler
Sử dụng các lệnh Powershell sau để vô hiệu hoá dịch vụ Print Spooler:
Stop-Service -Name Spooler -Force
Set-Service -Name Spooler -StartupType Disabled
Giải pháp tạm thời 2: Tắt tính năng in từ xa đến thông qua Group Policy
Thao tác theo các bước sau để tắt tính năng in từ xa thông qua Group Policy: Truy cập Computer Configuration / Administrative Templates / Printers; Tắt tuỳ chọn “Allow Print Spooler to accept client connections” để chặn tấn công từ xa; Khởi động lại dịch vụ Print Spooler để nhận cấu hình từ Group Policy.
Tác động của giải pháp tạm thời: Chính sách này sẽ chặn vectơ tấn công từ xa bằng cách ngăn các hoạt động in từ xa đến. Hệ thống sẽ không còn hoạt động như một máy chủ in, nhưng vẫn có thể gửi lệnh in tới máy in được gắn trực tiếp.
Đăng Thứ
09:00 | 01/04/2021
07:00 | 04/11/2019
09:00 | 15/06/2021
10:00 | 26/04/2021
08:00 | 12/03/2024
Mới đây, các nhà nghiên cứu từ Trung tâm Ứng phó khẩn cấp bảo mật AhnLab - ASEC (Hàn Quốc) phát hiện phần mềm độc hại mới có tên WogRAT, đang được các tác nhân đe dọa triển khai trong các cuộc tấn công lạm dụng nền tảng Notepad trực tuyến có tên là aNotepad để bí mật lưu trữ và truy xuất mã độc trên cả Windows và Linux.
11:00 | 29/02/2024
Các nhà nghiên cứu của hãng bảo mật Palo Alto Networks (Mỹ) đã phát hiện một biến thể mới của Trojan ngân hàng Mispadu đang tiến hành các hoạt động khai thác lỗ hổng Windows SmartScreen đã được vá để nhắm mục tiêu đến các nạn nhân ở Mexico. Bài viết sẽ phân tích và thảo luận xoay quanh biến thể mới của Mispadu và tấn công khai thác lỗ hổng Windows SmartScreen dựa trên báo cáo của Palo Alto Networks.
07:00 | 27/12/2023
Các nhà nghiên cứu tại Công ty công nghệ an ninh mạng Cisco Talos (Mỹ) mới đây đã phát hiện ra chiến dịch Operation Blacksmith do nhóm tin tặc Lazarus khét tiếng của Triều Tiên thực hiện, sử dụng ba họ phần mềm độc hại dựa trên ngôn ngữ lập trình DLang, bao gồm trojan truy cập từ xa (RAT) có tên là NineRAT tận dụng Telegram để ra lệnh và kiểm soát (C2), DLRAT và trình tải xuống có tên là BottomLoader.
17:00 | 22/12/2023
Mới đây, các nhà nghiên cứu tới từ hãng bảo mật Kaspersky đã đưa ra báo cáo về việc phát hiện một loại Trojan mới có liên quan đến nhóm tin tặc APT BlueNoroff và chiến dịch RustBucket đang diễn ra. Trojan này là một trình tải độc hại được thiết kế để tải và thực thi mã độc khác trên hệ thống bị xâm nhập với mục tiêu nhắm vào người dùng macOS. Bài viết này sẽ cùng tìm hiểu, khám phá Trojan BlueNoroff cũng như thông tin xoay quanh nhóm tin tặc này.
Mới đây, Cisco cảnh báo rằng một nhóm tin tặc được nhà nước bảo trợ đã khai thác hai lỗ hổng zero-day trong tường lửa Adaptive Security Appliance (ASA) và Firepower Threat Defense (FTD) kể từ tháng 11/2023 để cài đặt phần mềm độc hại trên các hệ thống mạng viễn thông và năng lượng bị ảnh hưởng tại nhiều quốc gia.
08:00 | 04/05/2024