Ancaman PrintNightmare Berlanjut, Microsoft Konfirmasi Eksploitasi Hadir di Semua Varian

  • Whatsapp
Ransomware Menghantam Kontraktor Pertahanan AS BlueForce

 

Microsoft telah menandai kerentanan eksekusi kode jarak jauh CVE-2021-34527 (print Spooler) yang disebut “Print Nightmare.” EHN sebelumnya melaporkan bahwa bug terbaru “CVE-2021-1675” berada dalam antrian panjang Print Spooler Bugs, dan pertama kali ditemukan oleh para peneliti di Tencent Security, NSFOCUS, dan AFINE awal tahun ini. Microsoft mengatakan bahwa kode yang disusupi menyelinap ke semua varian Microsoft. Raksasa teknologi itu mengatakan bahwa saat ini sedang mengkonfirmasi apakah eksploitasi itu rentan di setiap varian, namun, dikonfirmasi bahwa pengontrol domain telah disusupi.
Microsoft juga mengatakan bahwa kerentanan ini berbeda dari CVE-2021-1675, yang terkait dengan vektor ancaman yang berbeda dan eksploitasi yang berbeda di RpcAddPrinterDriverEx(). Sesuai Microsoft, masalah itu ditangani dengan pembaruan Juni 2021, namun tidak mengetahui ancaman baru. Masalah sudah ada sebelum pembaruan. “Situasinya masih sangat berkembang saat Microsoft berjuang untuk mengatasi masalah tersebut. Bagaimanapun, vuln yang dapat memberikan hak SISTEM penyerang pada pengontrol domain adalah hal yang sangat, sangat buruk,” kata The Register.
Microsoft juga mengatakan bahwa kerentanan (PrintNightmare) sedang dieksploitasi di tempat terbuka. PrintNightmare sangat terkenal karena memungkinkan peretas untuk menjalankan kode arbitrer dengan Hak Istimewa Sistem. Menurut Thee Register, seorang hacker berhasil mengeksploitasi kerentanan (melalui exploit di layanan Windows Printer Spooler) dengan menginstal perangkat lunak. Peretas juga dapat bermain dengan data, dan membuat akun pengguna baru dengan hak penuh. Sesuai Microsoft, serangan tersebut harus melibatkan pengguna resmi bernama RpcAddPrinterDriverEx().
Kerentanan zero-day secara keliru terungkap awal pekan ini, ketika sebuah perusahaan keamanan siber memposting laporan PoC (Proof of Concept) tentang eksploitasi tersebut, salah mengartikannya sebagai patch keamanan sebagai bagian dari CVE-2021-1675. Namun, tidak dan mengakibatkan kepanikan hiruk pikuk di antara pengguna meskipun kode yang dieksploitasi sedang dipecahkan. Register melaporkan, “Mitigasi yang disarankan sejauh ini termasuk mematikan layanan Windows Print Spooler pada pengontrol domain yang tidak digunakan untuk mencetak atau menarik pengguna dari grup warisan pra-Windows 2000. Solusi Microsoft sendiri dimulai dengan menonaktifkan layanan Print Spooler dan diakhiri dengan menonaktifkan pencetakan jarak jauh masuk melalui kebijakan grup.”

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *