Microsoft ออกแพ็ตช์ แก้ไขช่องโหว่ Zero-Day 'Windows PrintNightMare'

Microsoft-PrintNightMare-Vulnerability.jpg

อ้างอิง https://hackersonlineclub.com/

เมื่อวันพุธที่ 7 กรกฏาคม 2564 Microsoft ได้ออกแพ็ตช์แก้ไข ช่องโหว่ Zero-Day 'Windows PrintNightMare'

Microsoft ได้พบปัญหาที่ส่งผลกระทบต่อระบบปฏิบัติการ Windows ทุกรุ่นและได้เร่งดำเนินการแก้ไขสำหรับ Windows เวอร์ชันที่รองรับ และนำไปใช้ในการเชื่อมต่อกับอุปกรณ์ต่าง ๆ แบบอัตโนมัติ

ช่องโหว่ PrintNightMare คืออะไร?

คือ ช่องโหว่การเรียกใช้โค้ดจากระยะไกลของ Windows Print Spooler | CVE-2021-34527[1]

โดยผู้ไม่ประสงค์ดีสามารถเรียกใช้โค้ดจากระยะไกลผ่าน Windows Print Spooler service[2] จากการทำงานของไฟล์ที่ได้สิทธิ์การเข้าถึงอย่างไม่เหมาะสม ผู้ไม่ประสงค์ดีที่ประสบความสำเร็จในการใช้ประโยชน์จากช่องโหว่นี้สามารถเรียกใช้โค้ดจากระยะไกลที่ได้สิทธิ์เป็น SYSTEM ทำให้ผู้ไม่ประสงค์ดีสามารถติดตั้งโปรแกรม อ่าน เขียน หรือลบข้อมูล หรือสร้างบัญชีใหม่พร้อมสิทธิ์ผู้ใช้งานในระดับสูงสุด (Administrator)

ศูนย์ประสานงานด้านความมั่นคงปลอดภัย (CERT Coordination Center) ได้กล่าวว่า “Microsoft Windows Print Spooler service” ไม่สามารถจำกัดการเข้าถึงฟังก์ชันที่อนุญาตให้ผู้ใช้งานเพิ่มเครื่องพิมพ์และไดรเวอร์ที่เกี่ยวข้อง ทำให้ผู้ไม่ประสงค์ดีสามารถตรวจสอบสิทธิ์การเข้าถึงและเรียกใช้คำสั่งอันตรายจากระยะไกลด้วยสิทธิ์ของ SYSTEM บนระบบปฏิบัติการที่มีช่องโหว่ “PrintNightMare” ได้สำเร็จ

Microsoft-PrintNightMare-Vulnerability-cmd.jpg

อ้างอิง https://hackersonlineclub.com/

จากภาพที่เห็นในข้างต้นคือ สคริปต์ PowerShell ที่อาศัยช่องโหว่ Local Privilege Escalation (LPE) ที่สามารถทำให้ผู้ไม่ประสงค์ดียกระดับสิทธิ์ของตนเองให้เป็น Administrator เพื่อเรียกใช้คำสั่งที่เป็นอันตรายด้วยการโจมตีผ่านช่องโหว่ Microsoft Windows Print Spooler service

ปัจจุบัน Microsoft ออก Patches สำหรับ:

  • Windows Server 2019

  • Windows Server 2012 R2

  • Windows Server 2008

  • Windows8.1

  • Windows RT 8.1 และ

  • Windows 10 (เวอร์ชัน 21H1, 20H2, 2004, 1909, 1809, 1803 และ 1507)

 

แนวทางป้องกัน

  1. ติดตั้ง Anti-Virus และ Update ให้เป็น Version ปัจจุบัน

  2. ปิดการทำงาน Print Spooller service ตามภาพด้านล่าง

stop-set.jpg

อ้างอิง https://techdirectarchive.com/

set-stop1.png

อ้างอิง https://techdirectarchive.com/

หรือสามารถปิดการทำงานได้ทันทีผ่านทาง Windows Services

stop-service.jpg

อ้างอิง https://techdirectarchive.com/

    3.ปิดการทำงานการพิมพ์ระยะไกลขาเข้า ผ่านนโยบายกลุ่มตั้งค่าผ่านนโยบายกลุ่ม ปิดใช้งานนโยบาย "อนุญาตให้ Print Spooler

       ยอมรับการเชื่อมต่อไคลเอ็นต์:" เพื่อบล็อกการโจมตีระยะไกล ตามภาพด้านล่าง

gpedit.jpg

อ้างอิง https://techdirectarchive.com/

ไปที่ Computer Configuration / Administrative Templates / Printers

gpedit1.jpg

อ้างอิง https://techdirectarchive.com/

gpedit2.jpg

อ้างอิง https://techdirectarchive.com/

เลือก Disable เพื่อทำการปิดการทำงาน

gpedit3.jpg

อ้างอิง https://techdirectarchive.com/

ตามภาพจะเห็นได้ว่า Status ของ Print Spooler เปลี่ยนเป็น Disable เป็นที่เรียบร้อย

ทาง Microsoft จะประกาศแพตช์ความปลอดภัยสำหรับ Windows 10 เวอร์ชัน 1607, Windows Server 2012 และ Windows Server 2016 ในอีกไม่กี่วันข้างหน้า

อ้างอิง :

https://hackersonlineclub.com/microsoft-patches-zero-day-windows-printnightmare-vulnerability/

[1] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-34527

[2] https://th.k2rx.com/fix-print-spooler-keeps-stopping

ผู้เขียน : นาย วสุพล ไชยสง่าศิลป์

ผู้ตรวจทาน : นายเจษฏา ทองก้านเหลือง

เผยแพร่ : วันที่ 14 กรกฏาคม 2564