นักวิจัยเผยโค้ดสาธิตช่องโหว่ Zero-day ใน Print Spooler โดยไม่ได้ตั้งใจ แอดมินเตรียมรับมือการโจมตี

มีเหตุการณ์ความเข้าใจผิดบางอย่างจากนักวิจัยของ Sangfor ที่กลายเป็นว่าบังเอิญไปเปิดเผยช่องโหว่ร้ายแรงที่ Microsoft ยังแพตช์ไม่เสร็จโดยไม่ตั้งใจ ซึ่งตอนนี้โค้ดก็ว่อนไปทั่ว พร้อมมีนักวิจัยคนอื่นสาธิตการใช้งานตามมาแล้วในชื่อ ‘PrintNightmare’ จึงแนะนำให้แอดมินเตรียมหาทางป้องกัน

ในแพตช์ของเดือนมิถุนายนที่ผ่านมามีช่องโหว่บน Print Spooler ตัวหนึ่งหมายเลขอ้างอิง CVE-2021-1675 (ชื่อเรียกจากคู่มือของ Microsoft คือ Print Spooler Bug) โดยในครั้งนั้น Microsoft กล่าวว่าเป็นเพียงช่องโหว่ยกระดับสิทธิ์ในระดับความรุนแรงไม่ได้สูงนัก ซึ่งกระทบกับ Windows ทุกเวอร์ชันตั้งแต่ Windows 7 SP1 ไปจนถึง Server 2019 รวมไปถึง ARM64, Server Core และ Windows RT 8.1 ต่อมาในวันที่ 21 มิถุนายน ทีมงาน Microsoft ได้อัปเดตช่องโหว่นี้อีกครั้งว่าอาจจะใช้เพื่อ Remote Code Execution ได้และความรุนแรงจะมากขึ้น

อีกที่ด้านหนึ่งที่งาน Black Hat 2021 ในเดือนสิงหาคม ทีมงาน Sangfor ก็ได้ส่งรายงานช่องโหว่ Print Spooler RCE เข้าไปเหมือนกัน ทั้งนี้ก็คิดว่าคงไม่เป็นไร ถ้าจะเปิดเผยโค้ดสาธิตสักหน่อยก่อนและมีแพตช์เรียบร้อยแล้ว ปรากฏว่าภายหลังพบว่าช่องโหว่ที่ตัวเองพบไม่ตรงกับที่ Microsoft แพตช์ แถม Microsoft ยังไม่ได้ให้เครดิตของ Sangfor ไว้ด้วย ซึ่งเป็นไปได้ว่าอาจจะพบจากแหล่งอื่น หลังจากนั้นทีมงาน Sangfor รีบปิดโค้ดลงแต่ก็ไม่ทันเสียแล้ว เพราะเรื่องราวหลุดออกไปจนกระทั่งผู้เชี่ยวชาญคนอื่นรู้ สร้างโค้ดสาธิตโชว์ว่าแม้เครื่องแพตช์ Printer Spooler ล่าสุดแล้วก็ยังถูกเจาะได้ ด้วยเหตุนี้เองไม่นานนักเราอาจจะเห็นการโจมตีอย่างกว้างขวางเกิดขึ้น

วิธีการป้องกัน

  • อาจจะมีแพตช์ฉุกเฉินก่อนแพตช์ประจำเดือนกรกฏาคมนี้ออกมา ดังนั้นคอยติดตามข่าวให้ดี (เอกสารแนะนำของ Microsoft https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-1675)
  • หากไม่จำเป็นต้องใช้ Windows Spooler ซึ่งเปิดเป็น Default อยู่แล้วให้ปิดซะ
  • หากจำเป็นต้องใช้ก็จำกัดการเข้าถึงให้ดี ซึ่งแน่นอนว่าอาจมีผลกระทบกับบริการ Printer ต่างๆ ในองค์กร

ที่มา : https://nakedsecurity.sophos.com/2021/06/30/printnightmare-the-zero-day-hole-in-windows-heres-what-to-do/ และ https://www.securityweek.com/windows-admins-scrambling-contain-printnightmare-flaw-exposure และ https://www.bleepingcomputer.com/news/security/public-windows-printnightmare-0-day-exploit-allows-domain-takeover/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

เสริมพลังประมวลผลให้ถึงขีดสุด ตอบโจทย์ทุกการทำ Digital Transformation ด้วย HPE Superdome Flex 280 Server

เมื่อธุรกิจต่างหันมาพึ่งพาโลกออนไลน์เป็นหัวใจสำคัญในการดำเนินธุรกิจในแต่ละวัน ไม่ว่าจะเป็นการพัฒนาแอปพลิเคชันเพื่อเป็นช่องทางการขายหรือการให้บริการแก่ลูกค้า, การนำซอฟต์แวร์ ERP หรือ CRM มาใช้เพื่อให้พนักงานสามารถทำงานได้อย่างเป็นระบบ หรือกรณีอื่นๆ แนวโน้มเหล่านี้ได้ส่งผลให้ธุรกิจองค์กรนั้นต้องมองหาแนวทางที่จะทำให้ระบบดิจิทัลเหล่านี้สามารถทำงานได้อย่างมั่นคงทนทานและมั่นคงปลอดภัย เพื่อให้ธุรกิจดำเนินไปได้อย่างต่อเนื่องไม่สะดุดติดขัด

[Guest Post] 5 แนวโน้มธุรกิจไทย หลังประกาศใช้กม.คุ้มครองข้อมูลส่วนบุคคล

ปีนี้นอกจากภาคธุรกิจต้องฟื้นฟูกิจการจากพิษโควิดแล้ว การบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคล หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ซึ่งจะมีผลบังคับใช้ใน 1 มิถุนายนนี้ กำลังเริ่มเป็นที่จับตาของภาคธุรกิจไทยเชื่อมโยงไปถึงธุรกิจโลก เพราะทุกที่กำลังจับตาดูว่าไทยจะใช้กฎหมายนี้อย่างจริงจังขนาดไหน เพื่อเชื่อมโยงกับการคุ้มครองข้อมูลส่วนบุคคลของแต่ละประเทศที่บังคับกันอย่างจริงจังแล้ว โดยเฉพาะในสหภาพยุโรปซึ่งหากการบังคับใช้ไม่เกิดผลจริงจัง การกีดกันทางการค้าคงมีผลตามมา