Phát hiện lỗ hổng mới liên quan đến Windows Print Spooler

InternetPosted on

Lỗ hổng PrintNightmare cho phép tin tặc truy cập máy tính Windows từ xa để cài chương trình, chỉnh sửa dữ liệu và giành quyền kiểm soát hệ thống. 

1. Mức độ nghiêm trọng của lỗ hổng PrintNightmare

Lỗ hổng PrintNightmare (CVE-2021-34527) được phát hiện sau khi các nhà nghiên cứu tại hãng bảo mật Sangfor vô tình chia sẻ đoạn mã khai thác. Được biết, các nhà nghiên cứu của Sangfor dự định trình bày về lỗ hổng PrintNightmare tại hội nghị bảo mật Black Hat vào cuối tháng 7. Đoạn mã được chia sẻ do nhóm nghiên cứu nghĩ rằng Microsoft đã vá lỗ hổng, nhưng thực tế là chưa. Theo The Verge, đoạn mã khai thác lỗ hổng đã được các nhà nghiên cứu xóa khỏi website gốc. Tuy nhiên, một số người đã nhanh chóng lưu lại và chia sẻ trên GitHub.

lo-hong-tren-windows

Theo Microsoft, lỗ hổng PrintNightmare cho phép tin tặc chạy mã từ xa với quyền hạn cấp hệ thống, ảnh hưởng đến hoạt động của hệ điều hành. Nếu khai thác được lỗ hổng này, tin tặc có thể chạy mã từ xa để cài chương trình, chỉnh sửa dữ liệu hoặc tạo tài khoản với đầy đủ quyền điều khiển máy tính.

Lỗ hổng PrintNightmare nằm trong Print Spooler, một dịch vụ trên Windows giúp quản lý các lệnh in ấn gửi đến máy in. Nghiêm trọng hơn, dịch vụ Print Spooler được kích hoạt mặc định trên tất cả các phiên bản Windows hiện hành và hiện chưa có bản vá cho lỗ hổng này. 

Các lỗ hổng trong dịch vụ Windows Print Spooler là vấn đề đau đầu đối với các quản trị viên hệ thống trong nhiều năm. Ví dụ khét tiếng nhất là virus Stuxnet. Stuxnet đã sử dụng nhiều mã khai thác zeroday, bao gồm cả lỗ hổng Windows Print Spooler, để phá hủy một số máy ly tâm hạt nhân của Iran hơn một thập kỷ trước.

2. Hướng dẫn phòng tránh rủi ro tấn công mạng do lỗ hổng PrintNightmare

Theo chuyên gia bảo mật SecurityBox, tin tặc đang tích cực khai thác lỗ hổng PrintNightmare để tấn công hệ thống. Vì vậy, các tổ chức, doanh nghiệp cần thực hiện các biện pháp bảo mật để hạn chế tối đa mọi rủi ro. 

  • Tắt dịch vụ Print Spooler (trên cả các hệ thống quản lý tên miền và máy tính không dùng để in ấn).
  • Vô hiệu hóa tính năng in từ xa thông qua Group Policy.
  • Cập nhật bản vá lỗ hổng ngay sau khi Microsoft phát hành. 
  • Kiểm tra xem hệ thống mạng có tồn tại lỗ hổng PrintNightmare hay không. Để làm được điều này, các tổ chức, doanh nghiệp cần một thiết bị rà quét có khả năng phát hiện ra lỗ hổng PrintNightmare. Bằng cách tích hợp lỗ hổng PrintNightmare vào cơ sở dữ liệu lỗ hổng của mình, thiết bị SecurityBox 4Network có thể giúp doanh nghiệp tìm ra được lỗ hổng này nếu chúng tồn tại trên hệ thống mạng. Từ đó, doanh nghiệp có thể đưa ra được phương án khắc phục và ngăn chặn rủi ro triệt để. 

Nếu doanh nghiệp cần tư vấn về an ninh mạng, hãy đăng ký để nhận hỗ trợ miễn phí.