หลังจากมีการปล่อย Patch Tuesday ไปเมื่อวันอังคารที่ผ่านมา Microsoft ได้รับทราบถึงข้อมูลการโจมตีในลักษณะ Remote Code Execution อีก 1 ช่องโหว่ที่อยู่ใน Service Print Spooler โดยทาง Microsoft ให้ข้อมูลเสริมว่ากำลังดำเนินการเพื่อแก้ไขช่องโหว่นี้ และจะมีการปล่อยให้อัพเดทแพตซ์แก้ไขช่องโหว่ในการอัพเดทครั้งถัดไป
ช่องโหว่นี้ได้รหัสเป็น CVE-2021-36958(CVSS score: 7.3) ซึ่งช่องโหว่นี้ถือว่าเป็นส่วนนึงของช่องโหว่ PrintNightmare ที่ Microsoft ออกแพตซ์ปิดช่องโหว่ไปในช่วงที่ผ่านมา Victor Mata จาก Accenture Security ผู้รายงานช่องโหว่ได้รายงานช่องโหว่ดังกล่าวให้กับ Microsoft ในเดือนธันวาคม 2020 ที่ผ่านมา
ช่องโหว่ Remote Code Execution นี้จะเกิดขึ้นเมื่อ Windows Print Spooler Service ดำเนินการกับไฟล์ด้วยสิทธิ์ที่ไม่เหมาะสม ซึ่งทำให้หลังจากที่ผู้โจมตีทำการโจมตีช่องโหว่นี้สำเร็จ จะสามารถเรียกรันโค้ดต่างๆได้ด้วยสิทธิ์ system ของระบบ ทำให้ผู้โจมตีสามารถติดตั้ง โปรแกรม ดู เปลี่ยนแปลง หรือ ลบข้อมูล หรือ สร้างบัญชีใหม่พร้อมสิทธิ์ผู้ใช้งานเต็มรูปแบบได้
เป็นที่น่าสังเกตว่าก่อนหน้านี้ Microsoft ทำการปล่อยอัปเดต patch ของ Windows โดยใช้วิธีเปลี่ยนค่าตั้งต้นของ Point และ Print โดยป้องกันไม่ให้สามารถติดตั้งหรืออัปเดตไดรเวอร์ Printer ใหม่ได้จากภายนอก หากไม่มีสิทธิ์ของผู้ดูแลระบบ
การแก้ไขปัญหาชั่วคราวทาง Microsoft แนะนำให้ผู้ใช้งานปิด Service Print Spooler เพื่อป้องกันไม่ให้ผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ โดยศูนย์ประสานงาน CERT ยังแนะนำให้ผู้ใช้บล็อกการรับส่งข้อมูล SMB ขาออกเพื่อป้องกันการเชื่อมต่อกับเครื่องพิมพ์ที่ถูกสร้างขึ้นเพื่อใช้ในการโจมตีได้
ที่มา : thehackernews.com
You must be logged in to post a comment.