Vào tháng 6, Microsoft đã vá một lỗ hổng được đánh giá là “rất quan trọng” có tên CVE-2021-1675. Lỗ hổng này cho phép tin tặc điều khiển máy tính từ xa thông qua hệ thống Print Spooler. Đây là một viễn cảnh đáng sợ trong bảo mật thông tin của Windows. Trung tâm Giám sát an ninh mạng quốc gia (NCSC), Cục An toàn thông tin, Bộ Thông tin và Truyền thông vừa tiếp tục yêu cầu các cơ quan, doanh nghiệp, tổ chức nhà nước lưu ý lỗ hổng thực thi mã từ xa thứ hai trong Windows Print Spooler.
Mục lục
Bất ngờ phát hiện lỗ hỏng trong khi nghiên cứu
Các nhà nghiên cứu tại công ty công nghệ Trung Quốc Sangfor đã vô tình tiếp tay cho một loại hình khai thác tương tự có tên PrintNightmare. Sau khi “vẽ đường” cho tin tặc cách tận dụng một lỗi chưa được phát hiện trước đó.
Được biết, Sangfor đang chuẩn bị tổ chức một hội nghị về hệ thống máy in của Windows. Hệ thống luôn dễ bị tin tặc tấn công. Để mọi người sẵn sàng cho hội nghị này, Sangfor quyết định công bố tài liệu có tên là Proof of Concept (POC). Để giải thích cách hoạt động của CVE-2021-1675 đã được vá gần đây; và tất cả những điều nguy hiểm mà các tin tặc có thể khai thác qua lỗ hổng này.
Nhưng những nhà nghiên cứu này đã không hề khai thác CVE-2021-1675 như họ tưởng. Hóa ra họ đã phát hiện ra một lỗ hổng tương tự trong Print Spooler của Windows. Có tên PrintNightmare – hiện đã được đặt tên là CVE-2021-34527. Bằng cách xuất bản POC nói về PrintNightmare; Sangfor đã vô tình chỉ cho các tin tặc cách tận dụng lỗi nguy hiểm này. Một lỗi zero-day trong hệ thống Windows.
Tin tặc lợi dụng lỗi này để kiểm soát hệ thống
Theo Microsoft, lỗ hổng PrintNightmare ảnh hưởng đến tất cả phiên bản Windows. Đó là một lỗi trong Print Spooler trên Windows. Một công cụ phức tạp mà Windows sử dụng để sắp xếp lịch trình in, bên cạnh những chức năng khác. Tin tặc đã khai thác lỗ hổng này để giành toàn quyền kiểm soát hệ thống. Với sức mạnh chạy mã tùy ý, cài đặt phần mềm và quản lý tệp.
Trong bài đăng trên blog bảo mật của Microsoft vào hôm 1.6; công ty tuyên bố tin tặc cần phải đăng nhập vào máy tính trước khi chạy khai thác lỗi PrintNightmare. Điều này có nghĩa là các doanh nghiệp, thư viện và các tổ chức khác có hệ thống mạng lớn; có thể dễ bị tổn thương nhất. Microsoft nói tin tặc đang tích cực khai thác PrintNightmare để xâm phạm hệ thống. Vì vậy các bên liên quan nên thực hiện các bước bảo mật để giảm thiểu vấn đề.
Tuy nhiên, hiện tại, cách duy nhất để bảo vệ PC khỏi PrintNightmare là vô hiệu hóa các chức năng in như Print Spooler. Biện pháp phòng ngừa này gần như là “bất khả thi” trong các tổ chức và công ty – nơi mà việc in ấn là không thể thiếu.
Phát hiện và sửa chữa lỗi kịp thời
Tại cảnh báo này, NCSC cho biết, trong tháng 6, Microsoft đã công bố bản vá cho lỗ hổng bảo mật CVE-2021-1675 trong Windows Print Spooler cùng với thông tin bổ sung rằng thực tế lỗ hổng này có thể khai thác từ xa và tăng mức độ ảnh hưởng của lỗ hổng từ thấp lên nghiêm trọng. Lỗ hổng CVE-2021-1675 đang được gọi với cái tên là “PrinterNightmare”.
Trên cơ sở nhận định lỗ hổng bảo mật CVE-2021-1675 có thể ảnh hưởng nghiêm trọng hơn những gì đã được Microsoft công bố trước đó, cũng như thực tế triển khai công tác giám sát an toàn thông tin những năm qua, Trung tâm NCSC đưa ra dự báo sớm rằng: “Lỗ hổng CVE-2021-1675 hoàn toàn có thể được tận dụng để tiến hành các chiến dịch tấn công có chủ đích lớn trên quy mô rộng trong thời gian ngắn sắp tới vào không gian mạng Việt Nam”.
