Microsoft Memperingatkan Cacat “PrintNightmare” Kritis Dieksploitasi di Alam Liar

  • Whatsapp
kerentanan windows print spooler

Microsoft pada hari Kamis secara resmi mengkonfirmasi bahwa “CetakMimpi BurukKerentanan eksekusi kode jarak jauh (RCE) yang memengaruhi Windows Print Spooler berbeda dari masalah yang ditangani perusahaan sebagai bagian dari pembaruan Patch Tuesday yang dirilis awal bulan ini, sambil memperingatkan bahwa ia telah mendeteksi upaya eksploitasi yang menargetkan kelemahan tersebut.

Perusahaan sedang melacak kelemahan keamanan di bawah pengidentifikasi CVE-2021-34527, dan telah menetapkan peringkat keparahan 8,8 pada sistem penilaian CVSS. Semua versi Windows berisi kode yang rentan dan rentan terhadap eksploitasi.

Bacaan Lainnya

Tim Stack Overflow

“Kerentanan eksekusi kode jarak jauh terjadi ketika layanan Windows Print Spooler melakukan operasi file yang diistimewakan secara tidak benar,” kata Microsoft dalam nasihatnya. “Seorang penyerang yang berhasil mengeksploitasi kerentanan ini dapat menjalankan kode arbitrer dengan hak istimewa SISTEM. Penyerang kemudian dapat menginstal program; melihat, mengubah, atau menghapus data; atau membuat akun baru dengan hak pengguna penuh.”

“Sebuah serangan harus melibatkan pengguna yang diautentikasi yang memanggil RpcAddPrinterDriverEx(),” tambah perusahaan yang berbasis di Redmond. Ketika dihubungi oleh The Hacker News, perusahaan mengatakan tidak ada yang bisa dibagikan di luar penasehat.

Pengakuan itu muncul setelah para peneliti dari perusahaan keamanan siber yang berbasis di Hong Kong, Sangfor, memublikasikan kesalahan teknis Print Spooler RCE ke GitHub, bersama dengan kode PoC yang berfungsi penuh, sebelum diturunkan hanya beberapa jam setelah naik.

Pengungkapan ini juga memicu spekulasi dan perdebatan tentang apakah patch Juni melindungi atau tidak dari kerentanan RCE, dengan Pusat Koordinasi CERT mencatat bahwa “sementara Microsoft telah merilis pembaruan untuk CVE-2021-1675, penting untuk menyadari bahwa pembaruan ini TIDAK melindungi pengontrol domain Direktori Aktif, atau sistem yang memiliki Titik dan Cetak yang dikonfigurasi dengan opsi NoWarningNoElevationOnInstall yang dikonfigurasi.”

Mencegah Pelanggaran Data

CVE-2021-1675, awalnya diklasifikasikan sebagai peningkatan kerentanan hak istimewa dan kemudian direvisi menjadi RCE, diperbaiki oleh Microsoft pada 8 Juni 2021.

Perusahaan, dalam penasehatnya, mencatat bahwa PrintNightmare berbeda dari CVE-2021-1675 karena alasan yang terakhir menyelesaikan kerentanan terpisah di RpcAddPrinterDriverEx() dan bahwa vektor serangannya berbeda.

Sebagai solusi, Microsoft merekomendasikan pengguna untuk menonaktifkan layanan Print Spooler atau menonaktifkan pencetakan jarak jauh masuk melalui Kebijakan Grup. Untuk mengurangi permukaan serangan dan sebagai alternatif untuk menonaktifkan pencetakan sepenuhnya, perusahaan juga menyarankan untuk memeriksa keanggotaan dan keanggotaan grup bersarang, dan mengurangi keanggotaan sebanyak mungkin, atau mengosongkan grup sepenuhnya jika memungkinkan.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *