ศูนย์ประสานงานรักษาความมั่นคงปลอดภัยทางคอมพิวเตอร์ด้านโทรคมนาคม
[TLP:WHITE] แจ้งเตือนช่องโหว่ชนิด zero-day ที่มีความรุนแรงระดับสูง (High) CVE-2021-34481
16 ก.ค.64
Executive Summary
ศูนย์ TTC-CERT แจ้งเตือนช่องโหว่ชนิด zero-day ที่มีความรุนแรงระดับสูง (High) Windows Print Spooler Elevation of Privilege Vulnerability โดยมีหมายเลข CVE-2021-34481 ซึ่งช่องโหว่นี้แตกต่างจากช่องโหว่ PrintNightmare ที่เคยรายงานไปก่อนหน้านี้ โดยช่องโหว่ CVE-2021-34481 นี้ สามารถถูกโจมตีได้เฉพาะแบบ Local เพื่อยกระดับสิทธิ์ของบัญชีผู้ใช้งานธรรมดาให้มีสิทธิ์สูงขึ้นในเครื่องที่ใช้ระบบปฏิบัติการ Windows ที่ได้รับผลกระทบเท่านั้น (Local Privilege Escalation)
ช่องโหว่นี้เป็นช่องโหว่ที่ก่อให้เกิดความเสี่ยงในระดับสูง (high risk) ต่อองค์กรที่ใช้งาน Printer Spooler service และต้องมีการดำเนินการต่าง ๆ เพื่อลดความเสี่ยงอย่างทันท่วงที โดยจากการรายงานของ บริษัท ไมโครซอฟท์[1] ระบุว่าช่องโหว่นี้เกิดจาก Windows Print Spooler service ที่ดำเนินการกับ privileged file อย่างไม่เหมาะสม โดยหากผู้โจมตีสามารถโจมตีช่องโหว่นี้ได้สำเร็จ จะส่งผลให้ผู้โจมตีสามารถสั่งให้ระบบที่ได้รับผล
กระทบ execute คำสั่งหรือ code ต่าง ๆ ได้โดยสิทธิ์ SYSTEM privileges ตลอดจนสามารถอ่าน เปลี่ยนแปลง และลบข้อมูล รวมถึงติดตั้งโปรแกรม หรือสร้างบัญชีผู้ใช้งานใหม่พร้อมสิทธิ์ในระดับสูงบนระบบที่ได้รับผลกระทบนี้
ทั้งนี้ ในห้วงเวลาที่รายงานฉบับนี้ออก (16 ก.ค.64 เวลา 10.30น.) ยังไม่พบ proof-of-concept code (PoC) สำหรับการโจมตีช่องโหว่ CVE-2021-34481 นอกจากนี้ ปัจจุบันยังไม่มีแพตช์สำหรับป้องกันช่องโหว่หมายเลข CVE-2021-34481 ดังนั้น ศูนย์ TTC-CERT ขอแนะนำให้สมาชิกดำเนินมาตรการตาม วิธีแก้ปัญหาชั่วคราว เพื่อลดความเสี่ยงจากการถูกโจมตี
สิ่งที่ยังไม่มีความชัดเจน
- ในห้วงเวลาที่รายงานฉบับนี้ออก (16 ก.ค.64 เวลา 10.30น.) ทาง บริษัท ไมโครซอฟต์ ยังไม่มีการแจ้งข้อมูลว่าระบบปฏิบัติการ Windows เวอร์ชันใดบ้างที่ได้รับผลกระทบจากช่องโหว่ CVE-2021-34481
วิธีแก้ปัญหาชั่วคราว
- บริษัท ไมโครซอฟต์ ได้ออกคำแนะนำในการแก้ปัญหาแบบชั่วคราว คือ ในกรณีที่ระบบคอมพิวเตอร์ไม่มีความจำเป็นต้องใช้งาน Print Spooler ควรหยุดการทำงานและปิดการใช้งาน Print Spooler service โดยใช้คำสั่งผ่าน PowerShell ดังนี้
Stop-Service -Name Spooler -Force |
Set-Service -Name Spooler -StartupType Disabled |
- ทั้งนี้ การแก้ไขเปลี่ยนแปลงใด ๆ กับระบบ เพื่อแก้ปัญหาจากผลกระทบดังกล่าว สมาชิกควรปฎิบัติตาม Change Management Policy และ/หรือ Risk Management Policy และ/หรือ Business Impact Assessment ของหน่วยงานอย่างเคร่งครัด
- ข้อควรทราบ หากมีการปิดใช้งาน (disable) Print Spooler Service บนเครื่องคอมพิวเตอร์ จะส่งผลให้เครื่องคอมพิวเตอร์นั้น ๆ ไม่สามารถสั่งพิมพ์งานได้ ทั้งการสั่งพิมพ์ไปที่ Local Printer หรือ Remote Printer
ข้อมูลอ้างอิง
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34481
- https://www.bleepingcomputer.com/news/microsoft/microsoft-shares-guidance-on-new-windows-print-spooler-vulnerability/
/
[1] "Security Update Guide - Loading - Microsoft - MSRC Researcher ...." 16 Jul. 2021, https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34481. Accessed 16 Jul. 2021.