เมื่อวันพฤหัสที่ผ่านมานั้น ไมโครซอฟท์ได้ออกมายืนยันแล้วว่าช่องโหว่ที่เปิดให้รันโค้ดจากระยะไกลหรือ RCE ที่ชื่อ “PrintNightmare” ที่กระทบกับตัว Windows Print Spooler นั้น แตกต่างจากช่องโหว่ที่ออกแพ็ตช์ไปเมื่อต้นเดือน
นอกจากนี้ยังพบหลักฐานด้วยว่ามีการโจมตีโดยใช้ช่องโหว่นี้ในวงกว้างไปแล้ว ทั้งนี้ช่องโหว่ดังกล่าวถูกจัดภายใต้รหัส CVE-2021-34527 เกิดขึ้นเนื่องจากเซอร์วิส Windows Print Spooler ไม่ได้จัดการไฟล์ถูกต้องตามสิทธิ์การใช้งาน
ซึ่งผู้โจมตีที่เจาะช่องโหว่นี้สำเร็จจะสามารถรันโค้ดอันตรายด้วยสิทธิ์ระดับ SYSTEM ไม่ว่าจะเป็นการติดตั้งโปรแกรม เรียกดู เปลี่ยนแปลง หรือลบข้อมูล รวมไปถึงสร้างบัญชีผู้ใช้ใหม่ที่ได้สิทธิ์การใช้งานเต็มรูปแบบ โดยผู้โจมตีจะต้องเรียกใช้ฟังก์ชั่น RpcAddPrinterDriverEx() ด้วยสิทธิ์ผู้ใช้ที่ได้รับอนุญาต
ผู้ค้นพบได้แก่นักวิจัยจากบริษัทด้านความปลอดภัยทางไซเบอร์ของฮ่องกง Sangfor ที่เผยแพรข้อมูลช่องโหว่ RCE ทางเทคนิคแบบเชิงลึกของ Print Spooler บน GitHub พร้อมกับโค้ดที่พิสูจน์การทำงานของช่องโหว่นี้เต็มรูปแบบ ก่อนจะโดนลบในเวลาไม่กี่ชั่วโมง
ที่มา : THN
