Lỗ hổng Windows có tên PrintNightmare cho phép những kẻ tấn công xâm nhập vào hệ thống và cài đặt các phần mềm độc hại. Vì thế bạn hãy updat...
Lỗ hổng Windows có tên PrintNightmare cho phép những kẻ tấn công xâm nhập vào hệ thống và cài đặt các phần mềm độc hại. Vì thế bạn hãy update Windows 10 ngay hoặc tắt PrintNightmare khi xem bài viết này.
Microsoft khuyến cáo người dùng Windows cập nhật bản vá lỗ hổng PrintNightmare hôm 7/7.
Cụ thể, PrintNightmare cho phép hacker tấn công qua Windows Print Spooler – một dịch vụ trên Windows, hỗ trợ nhiều người dùng truy cập vào một máy in. Kẻ tấn công có thể khai thác lỗ hổng này để cài đặt chương trình mới, xem hoặc chỉnh sửa tài liệu, thậm chí là tạo tài khoản mới trên máy của nạn nhân.
Microsoft đã xác nhận lỗ hổng mới hôm 1/7 và đang điều tra. Hãng thừa nhận vấn đề bảo mật ảnh hưởng đến tất cả phiên bản Windows và dán nhãn bảo mật cho lỗ hổng là “nghiêm trọng”. Bên cạnh đó, Microsoft cũng phát hành khẩn cấp bản vá bảo mật cho toàn bộ người dùng Windows của mình hôm 7/7. “Chúng tôi khuyên bạn nên cài các bản cập nhật này ngay lập tức”, đại diện Microsoft khuyến cáo.
Việc Windows dính lỗi bảo mật nghiêm trọng xảy ra trong bối cảnh làn sóng tấn công mạng nhắm vào nhiều công ty Mỹ. Trước đó, nền tảng của Microsoft cùng hệ thống của các hãng phần mềm Intel và Cisco đã bị xâm phạm trong vụ Solar Winds cuối năm 2020. Đây được xem là một trong những chiến dịch tấn công mạng quy mô lớn nhất tại Mỹ. Việc hacker lợi dụng phần mềm của Soloar Winds để xâm nhập vào nhiều hệ thống đã ảnh hưởng đến chính quyền các bang, địa phương cũng như cơ sở hạ tầng quan trọng cùng các tổ chức khu vực tư nhân khác. Phần mềm này được nhiều cơ quan chính phủ Mỹ sử dụng.
Tại Việt Nam, Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC) cuối tháng 6 đã cảnh báo lỗ hổng trong Windows Print Spooler từ cuối tháng 6. Theo Bộ Thông tin và Truyền thông, các cơ quan, tổ chức cần kiểm tra và rà soát để xác định các máy chủ, máy trạm có khả năng bị ảnh hưởng. Nếu có, cần thực hiện cập nhật bản vá bảo mật theo hướng dẫn của Microsoft, đồng thời lên sẵn phương án xử lý khi phát hiện có dấu hiệu bị tấn công.
Tuy nhiên nhà nghiên cứu cũng đưa ra 2 phương pháp để tắt PrintNightmare có thể được sử dụng để giảm thiểu lỗ hổng.Cách 1: Chặn lưu lượng SMB đi ở ranh giới mạng
Vì khai thác công khai của Delpy sử dụng máy chủ in từ xa, bạn có thể chặn lưu lượng SMB gửi đi để ngăn truy cập vào máy tính từ xa.
Tuy nhiên, MS-WPRN cũng có thể được sử dụng để cài đặt trình điều khiển mà không cần sử dụng SMB và các tác nhân đe dọa vẫn có thể sử dụng kỹ thuật này với một máy chủ máy in cục bộ.
Do đó, việc giảm thiểu này không phải là một phương pháp ngăn chặn việc khai thác an toàn.
Cách 2: Cấu hình và tắt PrintNightmare từ PackagePointAndPrintServerList
Một cách tốt hơn để ngăn chặn việc khai thác này là hạn chế Point and Print trong danh sách các máy chủ được phê duyệt bằng cách sử dụng tùy chọn ‘Package Point and print – Approved servers’ của Group Policy.
Cấu hình chính sách ‘Package Point and print – Approved servers’
Chính sách này ngăn người dùng không phải là quản trị viên cài đặt trình điều khiển in bằng Point and Print trừ khi máy chủ in nằm trong danh sách được phê duyệt. Sử dụng chính sách nhóm này sẽ cung cấp sự bảo vệ tốt nhất chống lại việc khai thác lỗ hổng đang tồn tại.
Hiện tại Microsoft chưa đưa ra bất kỳ thông tin cũng như lời bình luận nào về lỗ hổng PrintNightmare nguy hiểm này.
COMMENTS