Được các nhà nghiên cứu đặt tên là PrintNightmare, lỗ hổng này nằm trên Windows Print Spooler. Tin tặc có thể lợi dụng để chiếm một máy chủ tên miền Windows từ đó dễ dàng triển khai phần mềm độc hại trên mạng của công ty.
Các nhà nghiên cứu đã thử nghiệm mã nguồn khai thác (PoC) bị rò rỉ trên các hệ thống Windows Server 2019 được vá đầy đủ và có thể thực thi mã dưới dạng quyền SYSTEM trên hệ thống này.
Việc rò rỉ thông tin chi tiết về lỗ hổng này đã vô tình xảy ra do nhầm lẫn với lỗ hổng khác là lỗ hổng định danh CVE-2021-1675, cũng ảnh hưởng đến Print Spooler mà Microsoft đã cập nhật bản vá lỗ hổng bảo mật trong tháng 6.
Ban đầu, Microsoft phân loại CVE-2021-1675 là lỗ hổng leo thang đặc quyền, được đánh giá nghiêm trọng. Tuy nhiên sau đó, lỗ hổng lại được đánh giá quan trọng và ảnh hưởng đến việc thực thi mã từ xa mà không cung cấp bất kỳ chi tiết nào. Các nhà nghiên cứu từ ba công ty an ninh mạng Tencent, AFINE, NSFOCUS đã báo cáo về lỗ hổng này.
Ngày 28/6, nhà cung cấp bảo mật QiAnXin của Trung Quốc thông báo rằng họ đã tìm ra cách khai thác lỗ hổng cho phép leo thang đặc quyền cục bộ và thực thi mã từ xa, đồng thời xuất bản một video demo.
Nhìn thấy video khai thác và tin rằng đó là vấn đề tương tự, một nhóm các nhà nghiên cứu khác từ công ty bảo mật Trung Quốc Sangfor, đã quyết định phát hành bản mô tả kỹ thuật và đặt tên lỗ hổng là PrintNightmare. Tuy nhiên, PrintNightmare không phải là CVE-2021-1675, đã nhận được bản vá vào ngày 8/6, mà là một lỗ hổng zero-day trong Windows Print Spooler.
Mitja Kolsek, Giám đốc điều hành của Acros Security đã xóa bỏ sự nhầm lẫn bằng cách chỉ ra các chi tiết kỹ thuật mà các nhà nghiên cứu AFINE đã phát hành cho CVE-2021-1675, khác với những gì các nhà nghiên cứu Sangfor đã công bố.
PrintNightmare là một lỗ hổng nghiêm trọng cần được xử lý nhanh chóng. Vì chưa có bản vá, nên các quản trị viên nên vô hiệu hóa dịch vụ spooler, đặc biệt là trên các máy chủ quản trị Actice Directory.
Đăng Thứ (Theo Bleepingcomputer)
14:00 | 19/05/2021
18:00 | 15/07/2021
10:00 | 27/08/2021
17:00 | 22/05/2021
08:00 | 10/05/2021
13:00 | 28/08/2024
Ngày 21/8, công ty dịch vụ dầu khí hàng dầu Mỹ Halliburton bị tấn công mạng, gây ảnh hưởng tới hoạt động kinh doanh và một số mạng kết nối toàn cầu.
09:00 | 26/06/2024
Việc xác thực 2 yếu tố bằng mã OTP được xem là biện pháp bảo mật an toàn. Tuy nhiên các tin tặc đã tìm ra kẽ hở để sử dụng phương pháp này tấn công lừa đảo.
08:00 | 14/06/2024
Website bán vé trực tuyến nổi tiếng Ticketmaster vừa xác nhận bị tấn công mạng và lộ dữ liệu của hàng trăm triệu người dùng.
16:00 | 21/05/2024
Đầu tháng 5, một nhóm tin tặc đã công khai trên dark web dữ liệu chứa lượng lớn thông tin bệnh nhân và đội ngũ nhân viên tại bệnh viện NHS Dumfries & Galloway thuộc Scotland (Anh) sau một cuộc tấn công mạng vào đầu tháng 3.
Công ty an ninh mạng Lumen Technologies (Mỹ) cho biết, một nhóm tin tặc Trung Quốc đã khai thác một lỗ hổng phần mềm để xâm nhập vào một số công ty Internet tại Hoa Kỳ và nước ngoài.
14:00 | 05/09/2024