Microsoft cảnh báo về lỗ hổng nghiêm trọng "PrintNightmare"

Thảo luận trong 'Tin tức An ninh mạng' bắt đầu bởi WhiteHat Team, 03/07/21, 11:07 AM.

  1. WhiteHat Team

    WhiteHat Team Administrators Thành viên BQT

    Tham gia: 09/04/20, 02:04 PM
    Bài viết: 139
    Đã được thích: 35
    Điểm thành tích:
    28
    Cập nhật 8/7: Microsoft phát hành bản vá khẩn cấp cho Windows PrintNightmare zero-day

    Microsoft vừa phát hành bản cập nhật bảo mật khẩn cấp KB5004945 khắc phục lỗ hổng PrintNightmare bị khai thác trong dịch vụ Windows Print Spooler. Tuy nhiên, bản vá chưa hoàn chỉnh và lỗ hổng vẫn có thể bị khai thác nội bộ để chiếm các đặc quyền hệ thống.

    PrintNightmware update.png

    Hướng dẫn chi tiết về cách cài đặt các bản cập nhật bảo mật cho hệ điều hành có trong các tài liệu dưới đây:
    • Windows 10, phiên bản 21H1 (KB5004945)
    • Windows 10, phiên bản 20H2 (KB5004945)
    • Windows 10, phiên bản 2004 (KB5004945)
    • Windows 10, phiên bản 1909 (KB5004946)
    • Windows 10, phiên bản 1809 và Windows Server 2019 (KB5004947)
    • Windows 10, phiên bản 1803 (KB5004949) [Chưa khả dụng]
    • Windows 10, phiên bản 1507 (KB5004950)
    • Windows 8.1 và Windows Server 2012 (Rollup hằng tháng KB5004954 / chỉ riêng bảo mật KB5004958)
    • Windows 7 SP1 và Windows Server 2008 R2 SP1 (Rollup hằng tháng KB5004953 / chỉ riêng KB5004951)
    • Windows Server 2008 SP2 (Rollup hằng tháng KB5004955 / chỉ riêng bảo mật KB5004959)
    Các bản cập nhật bảo mật cho Windows 10 phiên bản 1607, Windows Server 2016 hoặc Windows Server 2012 cũng sẽ sớm được phát hành.

    ----------------------------

    Microsoft chính thức xác nhận lỗ hổng thực thi mã từ xa (RCE) "PrintNightmare” trên Windows Print Spooler không phải là lỗ hổng đã được hãng xử lý trong bản vá định kỳ mới đây. Hãng cũng cảnh báo đã phát hiện các nỗ lực khai thác thông qua lỗ hổng.


    PrintNightmare có mã định danh CVE-2021-34527.

    Microsoft cho biết kẻ tấn công nếu khai thác thành công lỗ hổng có thể chạy mã tùy ý với đặc quyền hệ thống. Sau đó chúng có thể cài đặt chương trình; xem, thay đổi hoặc xóa dữ liệu; hoặc tạo tài khoản mới với đầy đủ quyền của người dùng,…

    windows-print-spooler-vulnerability.jpg

    Trước đó PoC liên quan đến lỗ hổng thực thi mã từ xa (CVE-2021-1675) cũng ảnh hưởng đến Windows Print Spooler, được Microsoft vá đầu tháng 6, đã bị công khai một thời gian ngắn trước khi được gỡ xuống.

    (Xem thêm tại đây: Rò rỉ PoC của lỗ hổng RCE nghiêm trọng trong Windows)

    Sau hàng loạt biến cố, câu hỏi được đặt ra là liệu bản vá tháng 6 của Microsoft có bảo vệ các hệ thống trước lỗ hổng RCE này hay không. Mặc dù bản cập nhật cho lỗ hổng được phát hành, nhưng nó lại không bảo vệ bộ điều khiển miền Active Directory hoặc các hệ thống đã cấu hình Point and Print với tùy chọn NoWarningNoElevationOnInstall.

    CVE-2021-1675, ban đầu được phân loại là lỗ hổng đặc quyền nâng cao và sau đó được sửa đổi thành RCE, đã được Microsoft khắc phục vào ngày 8 tháng 6 năm 2021.

    Microsoft vẫn đang cập nhật tình hình và chưa có phản hồi chính thức để giải quyết tình trạng này. Tuy nhiên hãng khuyến nghị người dùng nên tắt dịch vụ Print Spooler hoặc tắt tính năng in từ xa thông qua Group Policy.

     
    Last edited by a moderator: 08/07/21, 02:07 PM
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  1. WhiteHat Team
  2. DDos
  3. WhiteHat News #ID:2112
  4. WhiteHat News #ID:2018
  5. tuantran