Lỗ hổng có tên PrintNightmare được phát hiện sau khi các nhà nghiên cứu tại hãng bảo mật Sangfor vô tình chia sẻ đoạn mã kích hoạt cuộc tấn công không gây nguy hiểm (PoC exploit) bằng cách khai thác lỗ hổng này.
Theo The Verge, đoạn mã khai thác lỗ hổng đã được các nhà nghiên cứu xóa khỏi website gốc, tuy nhiên một số người đã nhanh chóng lưu lại và chia sẻ trên GitHub.
Lỗ hổng bảo mật liên quan dịch vụ in ấn trong Windows có thể giúp tin tặc chiếm quyền kiểm soát máy tính. Ảnh: Lanswepper. |
Tuy chưa đánh giá chi tiết, Microsoft cho biết PrintNightmare giúp tin tặc chạy mã từ xa với quyền hạn cấp hệ thống, ảnh hưởng đến hoạt động của hệ điều hành. Lỗ hổng này nằm trong Print Spooler, dịch vụ trên Windows giúp quản lý các lệnh in ấn gửi đến máy in.
Đội ngũ nghiên cứu dự kiến trình bày chi tiết về lỗ hổng PrintNightmare tại hội nghị bảo mật Black Hat diễn ra cuối tháng 7. Đoạn mã được chia sẻ do nhóm nghiên cứu nghĩ rằng Microsoft đã vá lỗ hổng, nhưng thực tế là chưa.
Theo Bleepingcomputer, Microsoft đã mất vài ngày để đưa ra cảnh báo, nói rằng lỗ hổng đang được chủ động khai thác. Nó cho phép tin tặc chạy mã từ xa để cài chương trình, chỉnh sửa dữ liệu hoặc tạo tài khoản với đầy đủ quyền điều khiển máy tính.
Microsoft cho biết đoạn mã chứa lỗ hổng PrintNightmare xuất hiện trong tất cả phiên bản Windows. Dịch vụ Print Spooler được kích hoạt mặc định trên các phiên bản này.
Lỗ hổng bảo mật đang được Microsoft khắc phục. Trong khi chờ bản vá, công ty khuyên người dùng tắt dịch vụ Print Spooler, hoặc vô hiệu tính năng in từ xa thông qua Group Policy. Các hệ thống quản lý tên miền (domain controller) và máy tính không dùng để in ấn cũng được yêu cầu tắt Print Spooler.
Đây không phải lần đầu lỗ hổng trong Print Spooler khiến các kỹ thuật viên máy tính đau đầu. Hơn 10 năm trước, tin tặc từng sử dụng virus Stuxnet, kết hợp lỗ hổng trong nhiều dịch vụ (kể cả Windows Print Spooler) để phá hủy dàn máy quay ly tâm hạt nhân tại Iran.