Patch Darurat Microsoft Gagal Sepenuhnya Memperbaiki Kerentanan RCE PrintNightmare

  • Whatsapp
Patch Darurat Microsoft Gagal Sepenuhnya Memperbaiki Kerentanan RCE PrintNightmare

Bahkan sebagai Microsoft tambalan yang diperluas untuk apa yang disebut kerentanan PrintNightmare untuk Windows 10 versi 1607, Windows Server 2012, dan Windows Server 2016, terungkap bahwa perbaikan untuk eksploitasi eksekusi kode jarak jauh di layanan Windows Print Spooler dapat dilewati dalam skenario tertentu, secara efektif mengalahkan perlindungan keamanan dan mengizinkan penyerang untuk menjalankan kode arbitrer pada sistem yang terinfeksi.

Pada hari Selasa, pembuat Windows mengeluarkan pembaruan darurat out-of-band untuk mengatasi CVE-2021-34527 (skor CVSS: 8,8) setelah cacat itu secara tidak sengaja diungkapkan oleh para peneliti dari perusahaan cybersecurity Sangfor yang berbasis di Hong Kong akhir bulan lalu, di mana titik muncul bahwa masalahnya berbeda dari bug lain – dilacak sebagai CVE-2021-1675 – yang ditambal oleh Microsoft pada 8 Juni.

Bacaan Lainnya

Tim Stack Overflow

“Beberapa hari yang lalu, dua kerentanan keamanan ditemukan dalam mekanisme pencetakan Microsoft Windows yang ada,” kata Yaniv Balmas, kepala penelitian siber di Check Point, kepada The Hacker News. “Kerentanan ini memungkinkan penyerang jahat untuk mendapatkan kontrol penuh pada semua lingkungan windows yang memungkinkan pencetakan.”

“Ini sebagian besar adalah stasiun kerja tetapi, kadang-kadang, ini terkait dengan seluruh server yang merupakan bagian integral dari jaringan organisasi yang sangat populer. Microsoft mengklasifikasikan kerentanan ini sebagai kritis, tetapi ketika dipublikasikan, mereka hanya dapat memperbaiki salah satunya, meninggalkan pintu terbuka untuk eksplorasi kerentanan kedua,” tambah Balmas.

PrintNightmare berasal dari bug di Windows Cetak Spooler service, yang mengelola proses pencetakan di dalam jaringan lokal. Perhatian utama terhadap ancaman tersebut adalah bahwa pengguna non-administrator memiliki kemampuan untuk memuat driver printer mereka sendiri. Ini sekarang telah diperbaiki.

“Setelah menginstal ini [update] dan pembaruan Windows yang lebih baru, pengguna yang bukan administrator hanya dapat menginstal driver cetak yang ditandatangani ke server cetak,” Microsoft berkata, merinci perbaikan yang dilakukan untuk mengurangi risiko yang terkait dengan cacat tersebut. “Kredensial administrator akan diperlukan untuk menginstal driver printer yang tidak ditandatangani pada server printer ke depannya.”

Setelah rilis pembaruan, analis kerentanan CERT/CC Will Dormann memperingatkan bahwa patch “hanya muncul untuk mengatasi varian Remote Code Execution (RCE via SMB dan RPC) dari PrintNightmare, dan bukan varian Local Privilege Escalation (LPE),” dengan demikian memungkinkan penyerang untuk menyalahgunakan yang terakhir untuk mendapatkan hak istimewa SISTEM pada sistem yang rentan.

Manajemen Kata Sandi Perusahaan

Sekarang, pengujian lebih lanjut dari pembaruan telah mengungkapkan bahwa eksploitasi yang menargetkan cacat dapat jalan pintas itu perbaikan sepenuhnya untuk mendapatkan eskalasi hak istimewa lokal dan eksekusi kode jarak jauh. Untuk mencapai hal ini, bagaimanapun, Kebijakan Windows dipanggil ‘Batasan Titik dan Cetak‘ harus diaktifkan (Computer ConfigurationPoliciesAdministrative TemplatesPrinters: Point and Print Restrictions), menggunakan driver printer berbahaya yang berpotensi diinstal.

“Perhatikan bahwa pembaruan Microsoft untuk CVE-2021-34527 tidak secara efektif mencegah eksploitasi sistem di mana Titik dan Cetak NoWarningNoElevationOnInstall diatur ke 1,” Dormann berkata Rabu. Microsoft, pada bagiannya, menjelaskan dalam penasehatnya bahwa “Point and Print tidak secara langsung terkait dengan kerentanan ini, tetapi teknologinya melemahkan postur keamanan lokal sedemikian rupa sehingga eksploitasi dapat dilakukan.”

Meskipun Microsoft telah merekomendasikan opsi nuklir untuk menghentikan dan menonaktifkan layanan Print Spooler, dan solusi alternatif adalah untuk mengaktifkan perintah keamanan untuk Point and Print, dan membatasi hak penginstalan driver printer untuk administrator saja dengan mengonfigurasi nilai registri “RestrictDriverInstallationToAdministrators” untuk mencegah pengguna biasa menginstal driver printer di server cetak.

MEMPERBARUI: Menanggapi laporan CERT/CC, Microsoft berkata pada hari Kamis:

“Penyelidikan kami telah menunjukkan bahwa OOB [out-of-band] pembaruan keamanan bekerja seperti yang dirancang dan efektif terhadap eksploitasi spooling printer yang dikenal dan laporan publik lainnya yang secara kolektif disebut sebagai PrintNightmare. Semua laporan yang telah kami selidiki bergantung pada perubahan pengaturan registri default yang terkait dengan Point and Print ke konfigurasi yang tidak aman.”

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *