Được các nhà nghiên cứu đặt tên là PrintNightmare, lỗ hổng này nằm trên Windows Print Spooler. Tin tặc có thể lợi dụng để chiếm một máy chủ tên miền Windows từ đó dễ dàng triển khai phần mềm độc hại trên mạng của công ty.
Các nhà nghiên cứu đã thử nghiệm mã nguồn khai thác (PoC) bị rò rỉ trên các hệ thống Windows Server 2019 được vá đầy đủ và có thể thực thi mã dưới dạng quyền SYSTEM trên hệ thống này.
Việc rò rỉ thông tin chi tiết về lỗ hổng này đã vô tình xảy ra do nhầm lẫn với lỗ hổng khác là lỗ hổng định danh CVE-2021-1675, cũng ảnh hưởng đến Print Spooler mà Microsoft đã cập nhật bản vá lỗ hổng bảo mật trong tháng 6.
Ban đầu, Microsoft phân loại CVE-2021-1675 là lỗ hổng leo thang đặc quyền, được đánh giá nghiêm trọng. Tuy nhiên sau đó, lỗ hổng lại được đánh giá quan trọng và ảnh hưởng đến việc thực thi mã từ xa mà không cung cấp bất kỳ chi tiết nào. Các nhà nghiên cứu từ ba công ty an ninh mạng Tencent, AFINE, NSFOCUS đã báo cáo về lỗ hổng này.
Ngày 28/6, nhà cung cấp bảo mật QiAnXin của Trung Quốc thông báo rằng họ đã tìm ra cách khai thác lỗ hổng cho phép leo thang đặc quyền cục bộ và thực thi mã từ xa, đồng thời xuất bản một video demo.
Nhìn thấy video khai thác và tin rằng đó là vấn đề tương tự, một nhóm các nhà nghiên cứu khác từ công ty bảo mật Trung Quốc Sangfor, đã quyết định phát hành bản mô tả kỹ thuật và đặt tên lỗ hổng là PrintNightmare. Tuy nhiên, PrintNightmare không phải là CVE-2021-1675, đã nhận được bản vá vào ngày 8/6, mà là một lỗ hổng zero-day trong Windows Print Spooler.
Mitja Kolsek, Giám đốc điều hành của Acros Security đã xóa bỏ sự nhầm lẫn bằng cách chỉ ra các chi tiết kỹ thuật mà các nhà nghiên cứu AFINE đã phát hành cho CVE-2021-1675, khác với những gì các nhà nghiên cứu Sangfor đã công bố.
PrintNightmare là một lỗ hổng nghiêm trọng cần được xử lý nhanh chóng. Vì chưa có bản vá, nên các quản trị viên nên vô hiệu hóa dịch vụ spooler, đặc biệt là trên các máy chủ quản trị Actice Directory.
Đăng Thứ (Theo Bleepingcomputer)
14:00 | 19/05/2021
18:00 | 15/07/2021
10:00 | 27/08/2021
17:00 | 22/05/2021
08:00 | 10/05/2021
10:00 | 21/02/2024
Một tác nhân đe dọa có động cơ tài chính đã sử dụng thiết bị USB để lây nhiễm phần mềm độc hại ban đầu và lạm dụng các nền tảng trực tuyến hợp pháp, bao gồm GitHub, Vimeo và Ars Technica để lưu trữ các payload được mã hóa.
16:00 | 18/12/2023
Các nhà nghiên cứu từ công ty bảo mật chuỗi cung ứng Binarly cho biết lỗ hổng firmware có tên gọi là LogoFAIL có thể ảnh hưởng đến 95% máy tính, cho phép tin tặc vượt qua cơ chế bảo vệ Secure Boot và thực thi phần mềm độc hại trong quá trình khởi động. Các lỗ hổng xuất phát từ trình phân tích cú pháp hình ảnh được sử dụng trong firmware hệ thống UEFI để tải hình ảnh logo trên màn hình khởi động.
16:00 | 01/12/2023
Các nhà nghiên cứu an ninh mạng của hãng bảo mật Check Point cho biết đã phát một số biến thể mới của phần mềm độc hại SysJoker, trong đó bao gồm một biến thể được mã hóa bằng Rust, được các tin tặc ủng hộ Hamas sử dụng trong các cuộc tấn công mạng nhắm đến Israel, trong bối cảnh leo thang cuộc xung đột vũ trang giữa Israel và Hamas đang diễn ra. Trong bài viết này sẽ tập trung phân tích phiên bản Rust của SysJoker dựa trên báo cáo nghiên cứu mới đây của Check Point.
14:00 | 30/11/2023
Cơ quan tình báo Ukraine mới đây đã tuyên bố thực hiện chiến dịch tấn công mạng vào Cơ quan Vận tải Hàng không Liên bang Nga - Rosaviatsiya và đưa ra thông tin về tình trạng suy yếu hiện tại của ngành hàng không Nga.
Các chuyên gia bảo mật cảnh báo rằng thế giới đang phải đối mặt với sự phát triển của những công nghệ mới, mối đe dọa đang ngày càng gia tăng cả về phạm vi, lẫn cường độ của các cuộc tấn công.
08:00 | 17/04/2024