Kể từ đó, các nhà nghiên cứu đã tiếp tục tìm ra những cách mới để khai thác lỗ hổng bảo mật này, kể cả khi Microsoft đã tung ra bản vá. Trong số đó, có thể kể đến một máy chủ in với quyền truy cập Internet có thể cho phép bất cứ ai mở công cụ Command prompt với quyền quản trị.
}
Phương pháp của nhà nghiên cứu Benjamin Delpy cho phép bất kỳ ai, kể cả tin tặc, chiếm được đặc quyền quản trị bằng cách cài đặt trình điều khiển in từ xa. Sau khi có quyền quản trị trên máy, tin tặc có thể chạy bất kỳ lệnh nào.
Kỹ thuật này sẽ đặc biệt hữu ích với tội phạm mạng trong việc phát tán ransomware, bởi chúng có thể nhanh chóng và dễ dàng giành được các đặc quyền quản trị, sau đó lây lan mã độc qua mạng.
Delpy cho biết, một trong những lý do thúc đẩy mình tạo ra máy chủ in này là tạo áp lực để “Microsoft thực hiện một số ưu tiên” trong việc sửa lỗi. Nhà nghiên cứu cũng cho biết không thể xác định IP nào thuộc về các nhà nghiên cứu và IP nào thuộc về kẻ tấn công. Tuy nhiên, một số địa chỉ IP của Nga có hành vi lạm dụng máy chủ in đã bị chặn bằng firewall.
Giải pháp khắc phục lỗ hổng
Vì bất kỳ ai cũng có thể lạm dụng máy chủ này để giành được các đặc quyền hệ thống trên thiết bị Windows, Delpy đã đưa ra một số giải pháp để giảm thiểu nguy cơ.
Cách 1: Tắt dịch vụ Windows Print Spooler
Cách 2: Chặn lưu lượng RPC và SMB tại ranh giới mạng
Cách 3: Định cấu hình PackagePointAndPrintServerList
Đăng ký liền tay Nhận Ngay Bài Mới
Subscribe ngay
Cám ơn bạn đã đăng ký !
Lỗi đăng ký !
Add Comment