ช่องโหว่ Windows Print Nightmare ยังคงดำเนินต่อไปพร้อมกับ Driver Packages ที่เป็นอันตราย

ช่องโหว่ CVE-2021-34527 เป็นช่องโหว่ที่สามารถโจมตีแบบ Remote Code Execution RpcAddPrinterDriverEx() ซึ่งเกี่ยวกับการตั้งค่าไดรเวอร์ของ Printer หากผู้ไม่ประสงค์ดี สามารถเข้าถึงระบบได้จากช่องโหว่แล้ว จะสามารถเรียกใช้งาน System privileges ซึ่งสิทธิ์ System privileges นี้สามารถติดตั้งโปรแกรม ดู เปลี่ยนแปลง ลบข้อมูล หรือสร้างบัญชีใหม่พร้อมสิทธิ์ผู้ใช้เต็มรูปแบบได้ ซึ่งในช่วงเวลานั้นยังไม่มี Patch เป็นทางการปล่อยออกมา ส่งผลกระทบกับ Windows ตั้งแต่ Windows 7 SP1 ไปจนถึง Server 2019, ARM64 versions of Windows และ Windows RT 8.1 แต่เมื่อวันที่ 6 กรกฏาคมที่ผ่านมาทาง Microsoft ได้ออกแพตซ์ด่วน Out-of-band (OOB) ออกมาให้อัพเดท ซึ่งจากข้อมูลปัจจุบันพบว่าแพตช์ที่ทาง Microsoft ได้ออกมานั้นสามารถแก้ไขได้เพียง Remote Code Execution (RCE) เท่านั้นส่วนช่องโหว่การยกระดับสิทธิ์ยังคงมีอยู่

เมื่อไม่นานมานี้นักวิจัยด้านความปลอดภัย Benjamin Delpy ได้ค้นพบวิธีการละเมิดการติดตั้งแบบปกติของไดร์เวอร์ Printer ของ Windows เพื่อรับสิทธิ์ System privileges ผ่านไดรเวอร์ Printer โดยเทคนิคนี้สามารถใช้ได้แม้จะทำตามคำแนะนำการแก้ไขปัญหาจากทาง Microsoft เรื่องการจำกัดการติดตั้งไดรเวอร์ Printer สำหรับผู้ดูแลระบบ และการปิดใช้งาน Point and Print นอกจากนั้นผู้ไม่ประสงค์ดียังสามารถสร้าง Signing a driver ที่เป็นอันตราย และใช้สิทธิ์ System privileges บนระบบอื่นๆ ได้อีกด้วย

โดยวิธีการนั้นแตกต่างกันไปตามเทคนิคของแต่ละกลุ่ม เช่น วิธีการสร้าง Signing a Driver ที่เป็นอันตราย และยืนยันโดยใช้ใบรับรอง Authenticode หรือ "Rolls Royce" ในการ Signing a Driver ซึ่งก็คือการซื้อ หรือขโมยใบรับรอง EV แล้วส่งไปเพื่อทำการตรวจสอบกับ Microsoft WHQL เมื่อผู้ไม่ประสงค์ดีมี Signing a Driver ที่ยืนยันแล้ว สามารถติดตั้งไดรเวอร์บนอุปกรณ์เครือข่ายอื่นๆ ที่มีสิทธิ์เป็นผู้ดูแลระบบได้ หรือใช้การ "pivot" อุปกรณ์ เพื่อรับสิทธิ์เข้าใช้งานระบบบนอุปกรณ์อื่นที่ไม่มีสิทธิ์ได้ โดยการติดตั้งไดร์เวอร์ที่เป็นอันตราย ซึ่งเทคนิคนี้สามารถใช้เพื่อช่วยให้ผู้ไม่ประสงค์ดีแพร่กระจายภายในระบบเครือข่ายได้

ข้อเสนอแนะ

  • เพื่อป้องกันการโจมตีนี้สามารถปิดใช้งานตัวจัดคิวงานพิมพ์ (Print Spooler) หรือเปิดใช้งานนโยบาย Point and Print เพื่อจำกัดเซิร์ฟเวอร์ที่อุปกรณ์สามารถดาวน์โหลดไดรเวอร์ Printer ได้

อย่างไรก็ตามการเปิดใช้งาน Point and Print จะทำให้ช่องโหว่ของ PrintNightmare สามารถข้ามแพตช์ปัจจุบันจาก Microsoft ได้ เนื่องจาก Windows ได้รับการออกแบบมาเพื่อให้ผู้ดูแลระบบสามารถติดตั้งไดรเวอร์เครื่องพิมพ์ได้ แม้แต่โปรแกรมที่อาจเป็นอันตรายโดยไม่ทราบสาเหตุ นอกจากนี้ Windows ยังได้รับการออกแบบมาเพื่อให้ผู้ใช้ที่ไม่ใช่ผู้ดูแลระบบสามารถติดตั้งไดรเวอร์ที่ยืนยันแล้วบนอุปกรณ์ของตนได้เพื่อความสะดวกในการใช้งาน

ที่มา: bleepingcomputer