Mới đây, các chuyên gia bảo mật về thông tin đã phát hiện một lỗ hổng có mã CVE-2021-1675 có mức độ nguy hiểm cao. Lỗ hổng này được xác định ảnh hưởng đến hầu hết các phiên bản như Windows 8.1, Windows 10, Windows 7, Windows Server 2019/2016/2012/2008. Theo các chuyên gia của NCSC, lỗ hổng này có thể bị tin tặc sử dụng vào mục đích tội phạm và ảnh hưởng nghiêm trọng đến thông tin người dùng.
Chính vì vậy, mới đây Microsoft đã phát hành bản vá cho lỗ hổng bảo mật thứ nhất “CVE-2021-1675” trên Windows Print Spooler trên hệ điều hành Windows.
Microsoft vá một lỗ hổng có tên là CVE-2021-1675
Vào ngày 16/6, qua việc theo dõi các thông tin về ATTT trên không gian mạng; trung tâm NCSC phát hiện một video trên mạng xã hội Twitter xác nhận. Lỗ hổng trên có thể khai thác để tấn công vào máy chủ AD từ xa.
Qua công tác giám sát, Trung tâm NCSC kết luận khả năng khai thác lỗ hổng theo mô tả của video mức độ xác thực cao nên đã phát hành cảnh báo số 2210/BTTTT-CATTT về việc dự báo sớm nguy cơ tấn công mạng trên diện rộng vào ngày 22-6-2021, gần như cùng thời gian Microsoft xác nhận lại khả năng lỗ hổng có khả năng khai thác từ xa.
Các nhà nghiên cứu tại công ty công nghệ Trung Quốc Sangfor đã vô tình tiếp tay cho một loại hình khai thác tương tự có tên PrintNightmare sau khi “vẽ đường” cho tin tặc cách tận dụng một lỗi chưa được phát hiện trước đó.
Được biết, Sangfor đang chuẩn bị tổ chức một hội nghị về hệ thống máy in của Windows. Đây là hệ thống luôn dễ bị tin tặc tấn công. Để mọi người sẵn sàng cho hội nghị này, Sangfor quyết định công bố tài liệu có tên là Proof of Concept (POC); để giải thích cách hoạt động của CVE-2021-1675 đã được vá gần đây; và tất cả những điều nguy hiểm mà các tin tặc có thể khai thác qua lỗ hổng này.
Nhưng những nhà nghiên cứu này đã không hề khai thác CVE-2021-1675 như họ tưởng; hóa ra họ đã phát hiện ra một lỗ hổng tương tự trong Print Spooler của Windows có tên PrintNightmare. Và hiện đã được đặt tên là CVE-2021-34527. Bằng cách xuất bản POC nói về PrintNightmare. Sangfor đã vô tình chỉ cho các tin tặc cách tận dụng lỗi nguy hiểm này. Đây là một lỗi zero-day trong hệ thống Windows.
Ảnh hưởng của lỗ hỗng PrintNightmare
Theo Microsoft, lỗ hổng PrintNightmare ảnh hưởng đến tất cả phiên bản Windows. Đó là một lỗi trong Print Spooler trên Windows. Đây là một công cụ phức tạp mà Windows sử dụng để sắp xếp lịch trình in; bên cạnh những chức năng khác. Tin tặc đã khai thác lỗ hổng này để giành toàn quyền kiểm soát hệ thống. Với sức mạnh chạy mã tùy ý, cài đặt phần mềm và quản lý tệp.
Trong bài đăng trên blog bảo mật của Microsoft vào hôm 1.6, công ty tuyên bố tin tặc cần phải đăng nhập vào máy tính trước khi chạy khai thác lỗi PrintNightmare, điều này có nghĩa là các doanh nghiệp, thư viện và các tổ chức khác có hệ thống mạng lớn có thể dễ bị tổn thương nhất. Microsoft nói tin tặc đang tích cực khai thác PrintNightmare để xâm phạm hệ thống. Vì vậy các bên liên quan nên thực hiện các bước bảo mật để giảm thiểu vấn đề.
Lỗ hổng PrintNightmare bao gồm cả thực thi mã từ xa (RCE) và leo thang đặc quyền (LPE). Tuy nhiên, theo chuyên gia bảo mật Matthew Hickey, bản vá của Microsoft mới vá lỗi RCE, không phải LPE. Điều đó đồng nghĩa bản vá chưa hoàn thiện. Và thế lực xấu vẫn có thể khai thác lỗ hổng để giành được đặc quyền hệ thống.
Tuy nhiên, hiện tại, cách duy nhất để bảo vệ PC khỏi PrintNightmare là vô hiệu hóa các chức năng in như Print Spooler. Biện pháp phòng ngừa này gần như là “bất khả thi” trong các tổ chức và công ty. Đây là nơi mà việc in ấn là không thể thiếu.
