Tutkijat löytävät uuden Windows Exploitin, kertovat vahingossa hakkereille, kuinka sitä käytetään
Microsoft
Kesäkuussa Microsoft korjasi kriittisen haavoittuvuuden nimeltä CVE-2021-1675. Tämän haavoittuvuuden ansiosta hakkerit pystyivät kauko-ohjaamaan tietokoneita Print Spooler -järjestelmän kautta – melko pelottavaa! Valitettavasti kiinalaisen teknologiayrityksen Sangforin tutkijat ovat saaneet samanlaisen hyväksikäytön nimeltä PrintNightmare vapaalle kerrottuaan hakkereille, kuinka hyödyntää aiemmin havaitsematonta vikaa.
Päivitys, 7.7.21 klo 11.29 Itäinen: Microsoft julkaisee nyt hätäpäivityksen korjatakseen PrintNightmaren haavoittuvuuden. Tämä päivitys ulottuu useimpiin Windows-käyttöjärjestelmän versioihin, mukaan lukien Windows 7.
Kuinka tämä tapahtui? No, Sangfor valmistautuu pitämään konferenssin Windowsin tulostinjärjestelmästä, joka on aina ollut haavoittuvainen hakkereille. Saadakseen ihmiset valmiiksi tähän konferenssiin, Sangfor päätti julkaista Proof of Concept (POC) -julkaisun, jossa selitetään, kuinka äskettäin korjattu CVE-2021-1675 toimii ja mitä vaarallisia asioita voit tehdä sillä.
Mutta nämä tutkijat eivät leikkineet CVE-2021-1675:llä. Osoittautuu, että he olivat havainneet samanlaisen haavoittuvuuden Windowsin tulostustulostuspalvelimesta nimeltä PrintNightmare, joka nyt kantaa imartelevaa CVE-2021-34527-nimikettä. Julkaisemalla POC:n PrintNightmaressa Sangfor opetti hakkereita tehokkaasti hyödyntämään Windows-järjestelmän vaarallista nollapäivävirhettä.
Microsoftin mukaan PrintNightmare vaikuttaa kaikkiin Windows-versioihin. Se on Windows Print Spooler -virhe – monimutkainen työkalu, jota Windows käyttää muun muassa tulostusaikataulujen muokkaamiseen. Tätä haavoittuvuutta hyödyntävät hakkerit saavat täyden hallinnan järjestelmään ja voivat käyttää mielivaltaista koodia, asentaa ohjelmistoja ja hallita tiedostoja.
Kesäkuun 1. päivän Microsoft Security Response Center -viestissä yritys toteaa, että hakkereiden on kirjauduttava tietokoneeseen ennen PrintNightmare-hyödyntämistä (eli yritykset, kirjastot ja muut organisaatiot, joilla on suuria verkkoja, voivat olla haavoittuvimpia). Microsoft sanoo, että hakkerit hyödyntävät aktiivisesti PrintNightmarea järjestelmien vaarantamiseen, joten asianomaisten osapuolten tulisi ryhtyä toimiin ongelman lieventämiseksi.
Tällä hetkellä ainoa tapa suojata tietokonetta PrintNightmarelta on kuitenkin poistaa käytöstä tulostustoiminnot, kuten Print Spooler. Tämä varotoimenpide saattaa olla mahdoton organisaatioissa, joissa tulostusverkot ovat välttämättömiä, mutta voit oppia näiden vaiheiden suorittamisesta Microsoft Security Response Centerissä.
Lähde: Microsoft Bleeping Computerin kautta, Forbes