trong năm qua Windows Lỗ hổng bảo mật đã được phát hiện trong Bộ đệm máy in. Bằng cách lạm dụng chúng, tội phạm mạng có thể chiếm quyền kiểm soát máy chủ và máy móc ngay cả khi không có quyền truy cập của quản trị viên.
Windows Print Spooler có lỗ hổng bảo mật gì, cần lưu ý những gì?
Các lỗ hổng nổi tiếng nhất có tên CVE-2021-1675 và CVE-2021-34527, được phát hiện vào cuối tháng 6 năm 2021. (còn gọi là PrintNightmare). PrintNightmare là một điều quan trọng Windows vô tình được các nhà nghiên cứu coi là bằng chứng về khái niệm (PoC) được xuất bản, công bố. Mặc dù lỗ hổng này đã nhanh chóng bị xóa khỏi GitHub nhưng người dùng vẫn có thể tải xuống và đăng lại. Vào cuối tháng 4 năm 2022, Windows Một lỗ hổng rất nghiêm trọng khác (CVE-2022-22718) đã được phát hiện trong Bộ đệm máy in. Microsoft đã phát hành một bản vá chống lại mối đe dọa này. Tuy nhiên, những kẻ tấn công vẫn có thể khai thác lỗ hổng này và giành quyền truy cập vào tài nguyên của công ty.
Các nhà nghiên cứu của Kaspersky phát hiện ra rằng tội phạm mạng đã thực hiện khoảng 65.000 cuộc tấn công vào các mục tiêu này trong khoảng thời gian từ tháng 7 năm 2021 đến tháng 4 năm 2022. Ngoài ra, các chuyên gia của Kaspersky còn phát hiện ra rằng khoảng 31.000 cuộc tấn công kiểu này xảy ra trong 4 tháng qua từ tháng 1 đến tháng 4. Cái này, Windows Điều đó có nghĩa là các lỗ hổng trong Print Spooler vẫn là con đường tấn công phổ biến của tội phạm mạng và người dùng nên biết về tất cả các bản vá và bản sửa lỗi do Microsoft phát hành.
Windows Việc khai thác lỗ hổng trong Print Spooler tấn công nhiều quốc gia. Khoảng 1/4 số ca được phát hiện từ tháng 7 năm 2021 đến tháng 4 năm 2022 đều đến từ Ý. Sau Ý, cuộc tấn công tích cực nhất là nhằm vào người dùng ở Türkiye và Hàn Quốc. Các nhà nghiên cứu của Kaspersky cũng phát hiện ra rằng trong 4 tháng qua, những kẻ tấn công đã hoạt động rất tích cực ở Áo, Pháp và Slovenia.
Nhà nghiên cứu bảo mật của Kaspersky Alexey Kulaev cho biết:Windows Các lỗ hổng của Print Spooler đóng vai trò là điểm nóng cho các mối đe dọa mới nổi. Chúng tôi dự đoán số lượng các nỗ lực khai thác sẽ ngày càng tăng nhằm giành quyền truy cập vào các tài nguyên trên mạng công ty, nơi có nguy cơ lây nhiễm ransomware và đánh cắp dữ liệu rất cao. Thông qua một số lỗ hổng này, kẻ tấn công có thể truy cập không chỉ vào dữ liệu của nạn nhân mà còn truy cập vào toàn bộ máy chủ của công ty. Vì vậy, người dùng nên làm theo hướng dẫn của Microsoft và sử dụng phiên bản mới nhất Windows Chúng tôi khuyên bạn nên áp dụng các bản cập nhật bảo mật.”
Kaspersky, Windows Để bảo vệ chống lại các cuộc tấn công của tội phạm mạng thông qua các lỗ hổng trong Print Spooler, nó khuyến nghị:
- Các bản vá cho các lỗ hổng mới nên được cài đặt càng sớm càng tốt. Vì vậy, trọng tâm của các mối đe dọa không thể lạm dụng lỗ hổng được đề cập.
- Kiểm tra bảo mật thường xuyên nên được thực hiện trên cơ sở hạ tầng CNTT của tổ chức để phát hiện ra những thiếu sót và hệ thống dễ bị tổn thương.
- Nên sử dụng giải pháp bảo vệ có tính năng chống lừa đảo trên các điểm cuối và máy chủ thư để giảm khả năng lây nhiễm thông qua các nỗ lực lừa đảo.
- Tận dụng các dịch vụ đặc biệt có thể giúp chống lại các cuộc tấn công cấp cao. Phát hiện và phản hồi được quản lý của Kaspersky dịch vụ giúp xác định và ngăn chặn các cuộc tấn công ở giai đoạn đầu trước khi kẻ tấn công tiếp cận mục tiêu của chúng.
- Việc cài đặt các giải pháp chống APT và EDR cho phép phát hiện và phát hiện các mối đe dọa cũng như điều tra khả năng và khắc phục sự cố kịp thời. Các nhóm SOC phải được cấp quyền truy cập vào thông tin tình báo về mối đe dọa mới nhất và thường xuyên được nâng cấp thông qua đào tạo chuyên nghiệp. tất cả những điều trên Kaspersky Expert Security có sẵn trong khuôn khổ.
