Peneliti Bocorkan Eksploitasi PoC untuk Kerentanan Windows RCE Kritis

  • Whatsapp
Kerentanan Windows RCE

Eksploitasi proof-of-concept (PoC) terkait dengan kerentanan eksekusi kode jarak jauh yang memengaruhi Windows Print Spooler dan ditambal oleh Microsoft awal bulan ini secara singkat dipublikasikan secara online sebelum dihapus.

Diidentifikasi sebagai CVE-2021-1675, masalah keamanan dapat memberikan kendali penuh kepada penyerang jarak jauh atas sistem yang rentan. Cetak Spooler mengelola proses pencetakan di Windows, termasuk memuat driver printer yang sesuai dan menjadwalkan pekerjaan cetak untuk pencetakan, antara lain.

Bacaan Lainnya

Kekurangan Print Spooler memprihatinkan, paling tidak karena permukaan serangan yang luas, tetapi juga karena fakta bahwa ia berjalan pada tingkat hak istimewa tertinggi dan mampu memuat binari pihak ketiga secara dinamis.

Tim Stack Overflow

Pembuat Windows mengatasi kerentanan sebagai bagian dari pembaruan Patch Tuesday pada 8 Juni 2021. Tetapi hampir dua minggu kemudian, Microsoft merevisi dampak cacat dari peningkatan hak istimewa ke eksekusi kode jarak jauh (RCE) serta meningkatkan tingkat keparahan dari Penting untuk Kritis.

“Entah penyerang mengeksploitasi kerentanan dengan mengakses sistem target secara lokal (misalnya, keyboard, konsol), atau dari jarak jauh (misalnya, SSH); atau penyerang bergantung pada Interaksi Pengguna oleh orang lain untuk melakukan tindakan yang diperlukan untuk mengeksploitasi kerentanan (misalnya, menipu pengguna yang sah untuk membuka dokumen berbahaya),” kata Microsoft dalam penasehatnya.

Segalanya berubah ketika perusahaan keamanan China QiAnXin awal pekan ini diungkapkan ia mampu menemukan “pendekatan yang tepat” untuk memanfaatkan kekurangan tersebut, dengan demikian menunjukkan eksploitasi yang berhasil untuk mencapai RCE.

Meskipun para peneliti menahan diri untuk tidak membagikan spesifikasi teknis tambahan, perusahaan keamanan siber yang berbasis di Hong Kong Sangfor menerbitkan apa yang merupakan penyelaman mendalam independen dari kerentanan yang sama, bersama dengan kode PoC yang berfungsi penuh ke GitHub, di mana kode itu tetap dapat diakses publik sebelum diambil offline. beberapa jam kemudian.

Sangfor memberi kode kerentanan “PrintNightmare.”

Mencegah Serangan Ransomware

“Kami menghapus PoC PrintNightmare. Untuk mengurangi kerentanan ini, harap perbarui Windows ke versi terbaru, atau nonaktifkan layanan Spooler,” tweeted Peneliti Keamanan Utama Sangfor, Zhiniang Peng. Temuan tersebut diharapkan disajikan di konferensi Black Hat USA bulan depan.

Windows Print Spooler telah lama menjadi sumber kerentanan keamanan, dengan Microsoft memperbaiki setidaknya tiga masalah — CVE-2020-1048, CVE-2020-1300, dan CVE-2020-1337 — dalam satu tahun terakhir saja. Khususnya, cacat dalam layanan juga disalahgunakan untuk mendapatkan akses jarak jauh dan menyebarkan Stuxnet worm pada tahun 2010 menargetkan instalasi nuklir Iran.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *