-
09/04/2020
-
85
-
550 bài viết
Máy chủ in từ xa cho phép chiếm quyền admin trên máy tính Windows
Hẳn các bạn chưa quên, vào tháng 6 năm 2021, lỗ hổng PrintNightmare CVE-2021-34527 đã được phát hiện cho phép thực thi mã từ xa và leo thang đặc quyền.
Kể từ đó, các nhà nghiên cứu đã tiếp tục tìm ra những cách mới để khai thác lỗ hổng bảo mật này, kể cả khi Microsoft đã tung ra bản vá. Trong số đó, có thể kể đến một máy chủ in với quyền truy cập Internet có thể cho phép bất cứ ai mở công cụ Command prompt với quyền quản trị.
Phương pháp của nhà nghiên cứu Benjamin Delpy cho phép bất kỳ ai, kể cả tin tặc, chiếm được đặc quyền quản trị bằng cách cài đặt trình điều khiển in từ xa. Sau khi có quyền quản trị trên máy, tin tặc có thể chạy bất kỳ lệnh nào.
Kỹ thuật này sẽ đặc biệt hữu ích với tội phạm mạng trong việc phát tán ransomware, bởi chúng có thể nhanh chóng và dễ dàng giành được các đặc quyền quản trị, sau đó lây lan mã độc qua mạng.
Delpy cho biết, một trong những lý do thúc đẩy mình tạo ra máy chủ in này là tạo áp lực để "Microsoft thực hiện một số ưu tiên" trong việc sửa lỗi. Nhà nghiên cứu cũng cho biết không thể xác định IP nào thuộc về các nhà nghiên cứu và IP nào thuộc về kẻ tấn công. Tuy nhiên, một số địa chỉ IP của Nga có hành vi lạm dụng máy chủ in đã bị chặn bằng firewall.
Giải pháp khắc phục lỗ hổng
Vì bất kỳ ai cũng có thể lạm dụng máy chủ này để giành được các đặc quyền hệ thống trên thiết bị Windows, Delpy đã đưa ra một số giải pháp để giảm thiểu nguy cơ.
Cách 1: Tắt dịch vụ Windows Print Spooler
Cách 2: Chặn lưu lượng RPC và SMB tại ranh giới mạng
Cách 3: Định cấu hình PackagePointAndPrintServerList
Kể từ đó, các nhà nghiên cứu đã tiếp tục tìm ra những cách mới để khai thác lỗ hổng bảo mật này, kể cả khi Microsoft đã tung ra bản vá. Trong số đó, có thể kể đến một máy chủ in với quyền truy cập Internet có thể cho phép bất cứ ai mở công cụ Command prompt với quyền quản trị.
Phương pháp của nhà nghiên cứu Benjamin Delpy cho phép bất kỳ ai, kể cả tin tặc, chiếm được đặc quyền quản trị bằng cách cài đặt trình điều khiển in từ xa. Sau khi có quyền quản trị trên máy, tin tặc có thể chạy bất kỳ lệnh nào.
Kỹ thuật này sẽ đặc biệt hữu ích với tội phạm mạng trong việc phát tán ransomware, bởi chúng có thể nhanh chóng và dễ dàng giành được các đặc quyền quản trị, sau đó lây lan mã độc qua mạng.
Delpy cho biết, một trong những lý do thúc đẩy mình tạo ra máy chủ in này là tạo áp lực để "Microsoft thực hiện một số ưu tiên" trong việc sửa lỗi. Nhà nghiên cứu cũng cho biết không thể xác định IP nào thuộc về các nhà nghiên cứu và IP nào thuộc về kẻ tấn công. Tuy nhiên, một số địa chỉ IP của Nga có hành vi lạm dụng máy chủ in đã bị chặn bằng firewall.
Giải pháp khắc phục lỗ hổng
Vì bất kỳ ai cũng có thể lạm dụng máy chủ này để giành được các đặc quyền hệ thống trên thiết bị Windows, Delpy đã đưa ra một số giải pháp để giảm thiểu nguy cơ.
Cách 1: Tắt dịch vụ Windows Print Spooler
Cách 2: Chặn lưu lượng RPC và SMB tại ranh giới mạng
Cách 3: Định cấu hình PackagePointAndPrintServerList
Theo Bleepingcomputer
Chỉnh sửa lần cuối: