พบช่องโหว่ใหม่บน Windows Print Spooler อีกแล้ว!

หลังเพิ่งออกแพตช์ไปได้ไม่กี่วัน ดูเหมือนว่าปัญหาของ Windows Print Spooler ยังคงไม่จบลงง่ายๆ เพราะล่าสุดมีผู้เชี่ยวชาญเปิดเผยวิธีการใช้งานช่องโหว่ในส่วนนี้อีกแล้ว

ช่องโหว่ PrintSpooler หรือรู้จักกันในอีกชื่อ PrintNightmare ถ้าใครติดตามมาตลอดจะทราบว่าเป็นมหากาพย์ที่ถูกเปิดเผยมายาวนานหลายเดือนแล้ว โดยอันที่จริง Microsoft ยกเครดิตให้แก่ Visctor Mata จาก FusionX และ Accenture Security ตั้งแต่ธันวาคมปี 2020 ต่อมาเมื่อช่วงกรกฏาคมก็มีข่าวว่ามีการทำเปิดเผยโค้ดสาธิตโดยไม่ได้ตั้งใจ (CVE-2021-34527) และเป็นคนละวิธีการกับที่ Microsoft แก้ไขไปแล้วด้วย (CVE-2021-1675) จึงได้ทำการแก้ในแพตช์เดือนกรกฏาคม ต่อมาก็มีผู้เชี่ยวชาญพบวิธีการใช้งานในอีกมุมกับฟีเจอร์ Point and Print (CVE-2021-34481) ที่สามารถนำไปสู่การยกระดับสิทธิ์ได้ โดยแพตช์ล่าสุดเมื่อ 2 วันก่อน Microsoft ได้แก้ไขเรื่องยกระดับสิทธิ์

ล่าสุดวันนี้มีข่าวอีกแล้วว่ามีช่องโหว่ยกระดับสิทธิ์ CVE-2021-36958 โดยไอเดียก็คือหากเหยื่อมีไดร์ฟเวอร์อยู่แล้ว ก็จะไม่เข้าเงื่อนไขที่ Microsoft ได้แก้ไขไปล่าสุด ซึ่งผู้เชี่ยวชาญ Benjamin Delpy ได้ใช้ CopyFile directive เพื่อ copy ไฟล์ dll ที่สามารถนำไปสู่การ Execute คำสั่งด้วยสิทธิ์ระดับ SYSTEM ได้ ซึ่งมีการสาธิตโค้ดไว้ที่วีดีโอด้านล่าง 

ปัจจุบันยังไม่มีวิธีการแนะนำอย่างเป็นทางการจาก Microsoft ดังนั้นรอติดตามกันต่อไปครับว่าซีรีส์ของ PrintNightmare จะไปจบลงอย่างไร

ที่มา : https://www.bleepingcomputer.com/news/microsoft/microsoft-confirms-another-windows-print-spooler-zero-day-bug/ และ https://www.zdnet.com/article/windows-10-microsoft-just-revealed-another-print-spooler-bug/ และ https://www.bleepingcomputer.com/news/microsoft/microsoft-shares-guidance-on-new-windows-print-spooler-vulnerability/