Xuất hiện lỗi zero-day mới của dịch vụ in trên Windows

Welcome to https://suamaytinhtphcm.net

--
Web suamaytinhtphcm.net có bài: Xuất hiện lỗi zero-day mới của dịch vụ in trên Windows
Sau khi lỗ hổng PrintNightmare được vá thì tiếp tục có thêm 1 lỗ hổng khác xuất hiện cũng với dịch vụ in của Windows.

Tiếp tục phát hiện lỗ hổng trên dịch vụ in Windows   /// Ảnh chụp màn hình Tiếp tục phát hiện lỗ hổng trên dịch vụ in Windows – Ảnh chụp màn hình

Tiếp tục phát giác lỗ hổng trên dịch vụ in Windows

Ảnh chụp màn hình

Theo BleepingComputer , một lỗ hổng zero-day khác trong Windows Print Spooler có thể cung cấp đặc quyền quản trị cho tác nhân đe dọa trên máy Windows thông qua máy chủ từ xa dưới sự khống chế của kẻ tấn công và tính năng Queue-Specific Files.
Lỗ hổng này xuất hiện sau khi một nhà nghiên cứu bảo mật đã vô cốt truyện lộ lỗ hổng zero-day được coi là PrintNightmare mà Microsoft theo dõi là CVE-2021-34527 vào tháng trước. Kể từ khi bản sửa lỗi chưa hoàn thành, các nhà nghiên cứu bảo mật đã xem xét kỹ lưỡng các API in của Windows và đã tìm thấy thêm các lỗ hổng ảnh hưởng đến cửa hàng in của Windows.
Nhà nghiên cứu bảo mật và người sáng tạo Mimikatz Benjamin Delpy đã tiết lộ công khai một lỗ hổng zero-day mới cấp phép kẻ đe dọa đơn giản đạt được những đặc quyền hệ thống và kiểm soát trên máy Windows thông qua một máy chủ in từ xa. Lỗ hổng được khai thác bằng phương pháp dùng tính năng Queue-Specific Files của khả năng Point and Print để tự động tải xuống và thực thi một DLL độc hại khi một máy khách kết nối với máy server in dưới sự kiểm soát của kẻ tấn công.
Về Queue-Specific Files, tài liệu của Microsoft giải thích: “Tại thời điểm cài đặt máy in, phần mềm cài đặt có thể chỉ định một tập hợp tệp, thuộc bất kỳ định dạng nào, được liên kết với bản kê chờ in cụ thể.” Để khai thác lỗ hổng, nhà nghiên cứu đã tạo một máy chủ in có thể truy cập qua internet với hai máy in dùng chung sử dụng tính năng nói trên, và nếu triển khai thực thi DLL độc hại, nó sẽ chạy với những đặc quyền của hệ thống và cũng có thể được sử dụng để chạy bất kỳ lệnh nào trên máy tính.
Tuy nhiên nhà nghiên cứu cũng đem ra 2 phương pháp có thể được sử dụng để giảm thiểu lỗ hổng.
Cách 1: Chặn lưu lượng SMB đi ở ranh giới mạng
Vì khai thác công khai của Delpy sử dụng máy chủ in từ xa, bạn cũng có thể chặn lưu lượng SMB gửi đi để ngăn truy cập vào máy tính từ xa.
Tuy nhiên, MS-WPRN cũng có thể được dùng để làm cài đặt trình điều khiển mà không cần dùng SMB và các tác nhân đe dọa vẫn có thể sử dụng kỹ thuật này với một máy chủ máy in cục bộ.
Do đó, việc giảm thiểu này sẽ không phải là một phương pháp ngăn chặn việc khai thác an toàn.
Cách 2: Cấu hình PackagePointAndPrintServerList
Một cách tốt hơn để ngăn chặn việc khai thác đây là hạn chế Point and Print trong danh sách các máy server được phê duyệt bằng cách sử dụng tùy chọn ‘Package Point and print – Approved servers’ của Group Policy.
Xuất hiện lỗi zero-day mới của dịch vụ in trên Windows - ảnh 1

Cấu hình chủ trương ‘Package Point and print – Approved servers’

Ảnh chụp màn hình

Chính sách này ngăn người sử dụng không cần là quản trị viên cài đặt trình điều khiển in bằng Point and Print trừ khi máy server in nằm trong danh sách được phê duyệt.
Sử dụng chủ trương nhóm này sẽ cung cấp sự bảo quản tốt nhất chống lại việc khai thác lỗ hổng đang tồn tại.
Hiện tại Microsoft chưa mang ra bất kỳ thông tin cũng giống lời bình luận nào về lỗ hổng.

Nội dung Xuất hiện lỗi zero-day mới của dịch vụ in trên Windows được tổng hợp sưu tầm biên tập bởi: suamaytinhtphcm.net. Mọi ý kiến vui lòng gửi Liên Hệ cho suamaytinhtphcm.net để điều chỉnh. suamaytinhtphcm.net tks.

Bài Viết Liên Quan


Bài Viết Khác

--