TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
มีเหตุการณ์ความเข้าใจผิดบางอย่างจากนักวิจัยของ Sangfor ที่กลายเป็นว่าบังเอิญไปเปิดเผยช่องโหว่ร้ายแรงที่ Microsoft ยังแพตช์ไม่เสร็จโดยไม่ตั้งใจ ซึ่งตอนนี้โค้ดก็ว่อนไปทั่ว พร้อมมีนักวิจัยคนอื่นสาธิตการใช้งานตามมาแล้วในชื่อ ‘PrintNightmare’ จึงแนะนำให้แอดมินเตรียมหาทางป้องกัน
ในแพตช์ของเดือนมิถุนายนที่ผ่านมามีช่องโหว่บน Print Spooler ตัวหนึ่งหมายเลขอ้างอิง CVE-2021-1675 (ชื่อเรียกจากคู่มือของ Microsoft คือ Print Spooler Bug) โดยในครั้งนั้น Microsoft กล่าวว่าเป็นเพียงช่องโหว่ยกระดับสิทธิ์ในระดับความรุนแรงไม่ได้สูงนัก ซึ่งกระทบกับ Windows ทุกเวอร์ชันตั้งแต่ Windows 7 SP1 ไปจนถึง Server 2019 รวมไปถึง ARM64, Server Core และ Windows RT 8.1 ต่อมาในวันที่ 21 มิถุนายน ทีมงาน Microsoft ได้อัปเดตช่องโหว่นี้อีกครั้งว่าอาจจะใช้เพื่อ Remote Code Execution ได้และความรุนแรงจะมากขึ้น
อีกที่ด้านหนึ่งที่งาน Black Hat 2021 ในเดือนสิงหาคม ทีมงาน Sangfor ก็ได้ส่งรายงานช่องโหว่ Print Spooler RCE เข้าไปเหมือนกัน ทั้งนี้ก็คิดว่าคงไม่เป็นไร ถ้าจะเปิดเผยโค้ดสาธิตสักหน่อยก่อนและมีแพตช์เรียบร้อยแล้ว ปรากฏว่าภายหลังพบว่าช่องโหว่ที่ตัวเองพบไม่ตรงกับที่ Microsoft แพตช์ แถม Microsoft ยังไม่ได้ให้เครดิตของ Sangfor ไว้ด้วย ซึ่งเป็นไปได้ว่าอาจจะพบจากแหล่งอื่น หลังจากนั้นทีมงาน Sangfor รีบปิดโค้ดลงแต่ก็ไม่ทันเสียแล้ว เพราะเรื่องราวหลุดออกไปจนกระทั่งผู้เชี่ยวชาญคนอื่นรู้ สร้างโค้ดสาธิตโชว์ว่าแม้เครื่องแพตช์ Printer Spooler ล่าสุดแล้วก็ยังถูกเจาะได้ ด้วยเหตุนี้เองไม่นานนักเราอาจจะเห็นการโจมตีอย่างกว้างขวางเกิดขึ้น
วิธีการป้องกัน
- อาจจะมีแพตช์ฉุกเฉินก่อนแพตช์ประจำเดือนกรกฏาคมนี้ออกมา ดังนั้นคอยติดตามข่าวให้ดี (เอกสารแนะนำของ Microsoft https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-1675)
- หากไม่จำเป็นต้องใช้ Windows Spooler ซึ่งเปิดเป็น Default อยู่แล้วให้ปิดซะ
- หากจำเป็นต้องใช้ก็จำกัดการเข้าถึงให้ดี ซึ่งแน่นอนว่าอาจมีผลกระทบกับบริการ Printer ต่างๆ ในองค์กร
ที่มา : https://nakedsecurity.sophos.com/2021/06/30/printnightmare-the-zero-day-hole-in-windows-heres-what-to-do/ และ https://www.securityweek.com/windows-admins-scrambling-contain-printnightmare-flaw-exposure และ https://www.bleepingcomputer.com/news/security/public-windows-printnightmare-0-day-exploit-allows-domain-takeover/
