คำแนะนำสำหรับช่องโหว่ CVE-2021-34527 Windows Print Spooler

ในวันอังคารที่ 6 ถึง พุธที่ 7 กรกฎาคม 2021 Microsoft ได้ออกแพตซ์ของช่องโหว่ CVE-2021-34527 ซึ่งเป็นช่องโหว่ของ Windows Print Spooler โดยแก้ไขช่องโหว่สำหรับ Windows ทุกเวอร์ชันที่ยังอยู่ในการ Supported ทั้งหมด โดยเป็นการออกแพตซ์นอกช่วงเวลาปกติ Out-of-band (OOB) (ปกติ Microsoft จะออกแพตซ์ทุกวันอังคารที่ 2 ของเดือน หรือที่เรียกกันว่า Tuesday Patch)

จาก Out-of-band (OOB) แพตซ์ที่ถูกปล่อยออกมา มีการตั้งคำถามถึงเรื่องการป้องกันที่ดูแล้วอาจจะยังเป็นแพตซ์ที่ไม่สามารถป้องกันการโจมตีนี้ได้อย่างเต็มประสิทธิภาพ

จากการตรวจสอบของทาง Microsoft พบว่า OOB แพตซ์สามารถทำงานได้ถูกต้องตามที่ออกแบบไว้ และสามารถป้องกันช่องโหว่ Printer Spooling Exploits หรือที่รู้จักกันในชื่อ PrintNightmare ที่ถูกปล่อยออกมาให้ใช้งานในปัจจุบันได้ ซึ่งจากรายงานทั้งหมดที่พบในปัจจุบันการโจมตีที่ยังอาจจะสามารถทำได้อยู่ จะเกี่ยวข้องกับการเปลี่ยนค่า Registry ตั้งต้น ในส่วนที่ชื่อว่า "Point and Print" ให้ไปเป็นค่าที่ไม่ปลอดภัย

โดยทาง Microsoft แนะนำให้ลูกค้าทำตามขั้นตอนเหล่านี้

  • อัปเดตแพตซ์ CVE-2021-34527 ในทุกกรณี การอัปเดตจะไม่เปลี่ยนการตั้งค่า registry ที่มีอยู่
  • หลังจากอัปเดตแพตซ์ ควรตรวจสอบคำแนะนำการตั้งค่า registry ที่ระบุไว้ในช่องโหว่ CVE-2021-34527
  • หากไม่พบ registry keys นี้ (HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint) ไม่จำเป็นต้องดำเนินการใดๆ เพิ่มเติม
  • หากพบ registry keys นี้อยู่ (HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint) เพื่อความปลอดภัย ต้องตั้งค่า registry keys ต่อไปนี้ให้เป็นค่า 0 (ศูนย์) ดังนี้
    - HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
    - NoWarningNoElevationOnInstall = 0 (DWORD) หรือ not defined (default setting)
    - UpdatePromptSettings = 0 (DWORD) หรือ not defined (default setting)

สำหรับรายละเอียดคำแนะนำเพิ่มเติม สามารถดูได้จาก KB5005010: Restricting installation of new printer drivers after applying the July 6, 2021 updates และ CVE-2021-34527.

ที่มา : Microsoft