Hôm qua, Microsoft đã phát hành bản vá lỗ hổng zero-day PrintNightMare. Lỗi này cho phép kẻ tấn công có thể thực thi mã từ xa trên các thiết bị Print Spooler được vá đầy đủ.
Tuy nhiên, bản vá được phát hành khẩn cấp này vẫn để lộ sai sót.
Microsoft chỉ sửa lỗi khai thác mã từ xa, có nghĩa là lỗ hổng này vẫn có thể được sử dụng để leo thang đặc quyền cục bộ (LPE). Ngoài ra, hacker sớm phát hiện ra rằng, lỗ hổng này vẫn có thể bị khai thác từ xa.
Theo chuyên gia Benjamin Delpy của Mimikatz, hacker có thể vượt qua bản vá để đạt quyền SYSTEM nếu chính sách Point and Print được bật.
Điều này đã được Will Dorman, nhà phân tích lỗ hổng của CERT/CC, xác nhận.
Để vượt qua bản vá PrintNightmare và đạt được RCE và LPE, chính sách “Point and Print Restrictions” phải được bật và cài đặt “When installing drivers for a new connection” được cấu hình là “Do not show warning on elevation prompt”.
Hiện tại, các nhà nghiên cứu bảo mật khuyến cáo quản trị viên nên tắt dịch vụ Print Spooler cho đến khi tất cả các vấn đề được khắc phục hoàn toàn hoặc chặn in từ xa đến máy thông qua Group Policy.
Bạn có thể làm theo các bước sau để tắt dịch vụ Print Spooler thông qua PowerShell:
- Mở PowerShell với tư cách Quản trị viên
- Stop-Service -Name Spooler -Force
- Set-Service -Name Spooler -StartupType Disabled
Ngoài ra, bạn có thể gửi đến tính năng in từ xa đến máy thông qua Group Policy bằng cách thực hiện các bước sau:
- Mở Group Policy Editor
- Đi tới Computer Configuration/ Administrative Templates/ Printers
- Tắt chính sách “Allow Print Spooler to accept client connections:”
Microsoft đã cập nhật danh sách MSRC lưu ý rằng họ đang tung ra các bản vá cho Windows Server 2012, Windows Server 2016 và Windows 10, Phiên bản 1607. Công ty cho biết thêm rằng để bảo mật hệ thống, người dùng "phải xác nhận cài đặt registry dưới đây được đặt thành 0 hoặc không được xác định”.
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\ PointAndPrint
- NoWarningNoElevationOnInstall = 0 (DWORD) hoặc không được xác định (cài đặt mặc định)
- NoWarningNoElevationOnUpdate = 0 (DWORD) hoặc không được xác định (cài đặt mặc định)
Tuy nhiên, Dormann cho rằng “NoWaringNoElevationOnInstall = 0 không ngăn chặn được việc khai thác. Công ty cũng chưa giải quyết các báo cáo của các công ty nghiên cứu bảo mật khác”.