Lỗ hổng nghiêm trọng trong Print Spooler cho phép tin tặc hack tất cả các phiên bản Windows

Một lỗ hổng nghiêm trọng trong Print Spooler service ảnh hưởng đến tất cả các phiên bản Windows hiện tại. Tin tặc có thể khai thác chiếm quyền kiểm soát thiết bị thông qua cơ chế rất đơn giản.

Lỗ hổng có định danh CVE-2016-3238 nằm trong phần xử lý cài đặt driver (chương trình điều khiển) máy in của Windows và trong cách người dùng cuối kết nối đến máy in. Lỗ hổng cho phép tin tặc cài đặt mã độc từ xa trên thiết bị của nạn nhân, từ đó có thể xem, sửa hoặc xóa dữ liệu, tạo tài khoản mới với đầy đủ quyền người dùng.

Người dùng đăng nhập với tài khoản được cấp quyền thấp hơn sẽ bị ảnh hưởng ít hơn người dùng sử dụng thiết bị với quyền quản trị. Microsoft cho biết lỗ hổng có thể bị khai thác cho phép thực thi mã từ xa nếu tin tặc thực hiện một tấn công man-in-the-middle (MiTM) vào hệ thống hoặc máy chủ máy in hoặc tạo một máy chủ máy in giả mạo trong mạng của nạn nhân.

Video minh họa lỗ hổng:

Trong mạng của các doanh nghiệp, quản trị viên thường mặc định cho phép máy in chuyển driver cần thiết đến máy trạm hoặc các hệ thống trong mạng. Những driver này được cài đặt ngầm mà không cần tương tác người dùng và thực thi với đầy đủ quyền người dùng HỆ THỐNG.

Tin tặc sẽ thay thế những driver máy in thành các tệp tin độc hại cho phép thực thi mã độc tùy ý. Điểm đáng lưu ý là nếu máy in nằm đằng sau một tường lửa, tin tặc thậm chí có thể hack các thiết bị hoặc máy tính khác, sau đó sử dụng để phát tán tệp tin độc hại.

Tấn công Watering Hole thông qua máy in

Giống như máy chủ, nhiều máy tính kết nối đến máy in với mục đích in tài liệu cũng như tải driver. Lỗ hổng này cho phép tin tặc thực hiện tấn công bằng kĩ thuật Watering Hole.

Tấn công Watering Hole hay drive-by download là một kĩ thuật thường được sử dụng nhắm tới các doanh nghiệp, tổ chức. Lợi dụng sự tin tưởng của người dùng vào một điểm truy cập (website, máy chủ, máy in…), để phát tán mã độc thông qua các điểm truy cập đó, từ đó chiếm được quyền kiểm soát mạng.

Lỗ hổng CVE-2016-3238 có mức độ nghiêm trọng rất cao do dễ dàng thực thi, tấn công bằng nhiều cách khác nhau và ảnh hưởng đến một lượng lớn người dùng. Lỗ hổng đã được vá trong bản cập nhật định kì Patch Tuesday tháng 7 của Microsoft. Ngoài ra bản cập nhật còn xử lý 1 lỗ hổng vượt quyền cho phép tin tặc ghi đè tệp tin hệ thống, 7 lỗ hổng thực thi mã từ xa trong Microsoft Office, SharePoint Server cũng như Office Web Apps; và nhiều lỗ hổng khác …

Người dùng được khuyến cáo cập nhật hệ thống và phần mềm của mình càng sớm càng tốt.

THN