ศูนย์ประสานงานรักษาความมั่นคงปลอดภัยทางคอมพิวเตอร์ด้านโทรคมนาคม
[TLP:WHITE] แจ้งเตือนช่องโหว่ชนิด zero-day ที่มีความรุนแรงระดับสูง (High) CVE-2021-34481
ศูนย์ TTC-CERT แจ้งเตือนช่องโหว่ชนิด zero-day ที่มีความรุนแรงระดับสูง (High) Windows Print Spooler Elevation of Privilege Vulnerability โดยมีหมายเลข CVE-2021-34481 ซึ่งช่องโหว่นี้แตกต่างจากช่องโหว่ PrintNightmare ที่เคยรายงานไปก่อนหน้านี้ โดยช่องโหว่ CVE-2021-34481 นี้ สามารถถูกโจมตีได้เฉพาะแบบ Local เพื่อยกระดับสิทธิ์ของบัญชีผู้ใช้งานธรรมดาให้มีสิทธิ์สูงขึ้นในเครื่องที่ใช้ระบบปฏิบัติการ Windows ที่ได้รับผลกระทบเท่านั้น (Local Privilege Escalation)
ช่องโหว่นี้เป็นช่องโหว่ที่ก่อให้เกิดความเสี่ยงในระดับสูง (high risk) ต่อองค์กรที่ใช้งาน Printer Spooler service และต้องมีการดำเนินการต่าง ๆ เพื่อลดความเสี่ยงอย่างทันท่วงที โดยจากการรายงานของ บริษัท ไมโครซอฟท์[1] ระบุว่าช่องโหว่นี้เกิดจาก Windows Print Spooler service ที่ดำเนินการกับ privileged file อย่างไม่เหมาะสม โดยหากผู้โจมตีสามารถโจมตีช่องโหว่นี้ได้สำเร็จ จะส่งผลให้ผู้โจมตีสามารถสั่งให้ระบบที่ได้รับผล
กระทบ execute คำสั่งหรือ code ต่าง ๆ ได้โดยสิทธิ์ SYSTEM privileges ตลอดจนสามารถอ่าน เปลี่ยนแปลง และลบข้อมูล รวมถึงติดตั้งโปรแกรม หรือสร้างบัญชีผู้ใช้งานใหม่พร้อมสิทธิ์ในระดับสูงบนระบบที่ได้รับผลกระทบนี้
ทั้งนี้ ในห้วงเวลาที่รายงานฉบับนี้ออก (16 ก.ค.64 เวลา 10.30น.) ยังไม่พบ proof-of-concept code (PoC) สำหรับการโจมตีช่องโหว่ CVE-2021-34481 นอกจากนี้ ปัจจุบันยังไม่มีแพตช์สำหรับป้องกันช่องโหว่หมายเลข CVE-2021-34481 ดังนั้น ศูนย์ TTC-CERT ขอแนะนำให้สมาชิกดำเนินมาตรการตาม วิธีแก้ปัญหาชั่วคราว เพื่อลดความเสี่ยงจากการถูกโจมตี
Stop-Service -Name Spooler -Force |
Set-Service -Name Spooler -StartupType Disabled |
/
[1] "Security Update Guide - Loading - Microsoft - MSRC Researcher ...." 16 Jul. 2021, https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34481. Accessed 16 Jul. 2021.