Microsoft thừa nhận cuộc tấn công Print Spool LPE mới (CVE-2021-34481)

Hơi giống một bộ phim kinh dị, ngay khi Microsoft cho rằng PrintNightmare của họ vượt qua một vectơ tấn công khác sẽ xuất hiện.

MSRC đã đăng một lời khuyên (CVE-2021-34481) thông báo cho quản trị viên rằng, mặc dù gần đây đã vá PC của họ chống lại PrintNightmare, nhưng một cuộc tấn công mới đã được phát hiện khiến PC của họ dễ bị xâm phạm.

Microsoft lưu ý rằng lỗ hổng đặc quyền tăng lên khi dịch vụ Windows Print Spooler thực hiện không đúng các thao tác tệp đặc quyền. Kẻ tấn công đã khai thác thành công lỗ hổng này có thể chạy mã tùy ý với các đặc quyền của HỆ THỐNG. Kẻ tấn công sau đó có thể cài đặt các chương trình; xem, thay đổi hoặc xóa dữ liệu; hoặc tạo tài khoản mới với đầy đủ quyền của người dùng.

Không giống như PrintNightmare ban đầu, tuy nhiên, cuộc tấn công này sẽ không phải là một cuộc khai thác mã từ xa và kẻ tấn công phải có khả năng thực thi mã trên hệ thống nạn nhân để khai thác lỗ hổng này. Tất nhiên, nó có thể được xâu chuỗi với một lỗ hổng khác và để cho việc khai thác đó nâng cao các đặc quyền của nó. Microsoft lưu ý rằng nó không yêu cầu sự can thiệp của người dùng để thực thi.

Microsoft vẫn chưa phát hành bản vá cho lỗi mới, nhưng lưu ý rằng một giải pháp khác là dừng và tắt dịch vụ Print Spooler có hiệu quả.

Đọc thêm về cuộc tấn công tại Microsoft tại đây.