Bài học rút ra chính
- Windows Print Spooler gần đây là trung tâm của một số lỗ hổng bảo mật.
- Cách thức hoạt động cụ thể của Windows Print Spooler làm cho các công việc in phức tạp trở nên đơn giản hơn, nhưng nó không an toàn bằng.
- Thiết kế lại Print Spooler và cấp cho nó nhiều quyền kiểm soát hơn có thể giúp nó ít bị tổn thương hơn, nếu Microsoft sẵn sàng làm điều đó.
Windows Print Spooler gần đây là trung tâm của một số lỗ hổng bảo mật và bất chấp những nỗ lực của Microsoft, sự cố vẫn không biến mất.
Chỉ trong hơn một tháng, Microsoft đã xác minh ba lỗ hổng bảo mật liên quan đến Windows Print Spooler, với các bản vá được phát hành cho hai lỗ hổng trong số đó cho đến nay. CVE-2021-34527 (hay còn gọi là "PrintNightmare"), CVE-2021-34481 và bây giờ là CVE-2021-36958 đã tạo điều kiện cho những kẻ độc hại tự cấp cho mình các đặc quyền HỆ THỐNG đầy đủ. Vô hiệu hóa Print Spooler là một tùy chọn, nhưng điều này ngăn bạn không thể kết nối bất kỳ máy in nào với máy tính của mình. Nó không phải là một giải pháp lý tưởng.
"Sự cố này đã liên tục ảnh hưởng đến các máy chủ và máy khách của Windows, từ Windows 7 đến 10 và các máy chủ 2019, 2004, 2012, 2008 và 2016", Felix Maberly, chuyên gia an ninh mạng tại Tiger Materials, cho biết trong một email phỏng vấn với Lifewire. "Tất cả các bản vá do Microsoft thực hiện đều không thể ngăn chặn mối đe dọa này."
Tại sao lại là Print Spooler?
Spoolers, nói chung, là thứ về cơ bản khiến máy in in - chúng thu thập tất cả dữ liệu cần thiết, gửi đến trình điều khiển in, sau đó trình điều khiển sẽ chuyển máy in. Phiên bản của Microsoft sử dụng Giao diện thiết bị đồ họa Windows (GDI) cùng với trình điều khiển in để cho máy in biết phải làm gì, thay vì ứng dụng. Điều này giúp đơn giản hóa các tác vụ in đối với các chương trình phức tạp hơn và loại bỏ yêu cầu của ứng dụng là phải biết cách vận hành các kiểu máy in cụ thể.
"Mặc dù kỹ thuật được sử dụng bởi Print Spooler của Microsoft khá tiên tiến và cho phép người dùng xếp hàng các tài liệu của họ để in trong khi thực hiện các tác vụ khác trên máy tính, nhưng việc sử dụng GDI khiến nó kém an toàn hơn", Peter B altazar, kỹ thuật viên. người viết nội dung tại MalwareFox, trong một email, "không giống như các bộ đệm cổ điển, việc kiểm soát hoàn toàn trình tự in không phải với ứng dụng bộ đệm."
Vì vậy, có vẻ như vấn đề cốt lõi với lỗ hổng của Windows Print Spooler là điều khiến nó khác biệt với hầu hết các bộ đệm khác: sự phụ thuộc vào GDI. Việc phân tách quyền kiểm soát giữa Windows Print Spooler và GDI, cộng với việc GDI xử lý tất cả dữ liệu in, đang khiến hệ thống mở. Microsoft đã cố gắng duy trì mọi thứ bằng cách phát hành nhiều bản cập nhật bảo mật cho các hệ thống bị ảnh hưởng.
"Microsoft đã phát hành một số bản vá để giải quyết các vấn đề," Maberly nói. "Tuy nhiên, trong thời gian chờ đợi, câu hỏi vẫn là liệu các công ty và các cá nhân khác có [sẵn sàng] ở trong tình trạng dễ bị tổn thương để cho Microsoft thời gian phát hành các bản vá lỗi này hay không."
Microsoft có thể khắc phục được không?
Microsoft phát hành các bản cập nhật bảo mật kịp thời là tốt và có vẻ như nó đang quản lý điều này với tốc độ tương đối khi các lỗ hổng mới được thừa nhận. Tuy nhiên, khi nói đến bảo mật hệ thống, việc phải đợi vài tuần để có bản sửa lỗi có thể không đủ tốt. Đặc biệt là khi các lỗ hổng mới tiếp tục được phát hiện trong khi các lỗ hổng đã biết đang được giải quyết.
"Microsoft nên đảm bảo rằng chúng tôi nhận được các giải pháp đe dọa vĩnh viễn khi chúng tôi chờ đợi, thay vì có một bản vá sớm trở nên dễ bị tấn công", Maberly nói.
Liệu Microsoft có thể bảo mật bằng chương trình máy tính có thể được bảo mật-Windows Print Spooler tại thời điểm này không? Một cách ẩn dụ, nó có thể tắt nước và sửa đường ống thay vì cố gắng bịt những chỗ rò rỉ mới khi nó phát hiện ra không? Do tần suất phải đẩy các bản cập nhật bảo mật Print Spooler trong tháng qua, nên cần phải thay đổi một số điều.
"Microsoft nên thiết kế lại [Print Spooler] và [trong thời gian đó] tiếp tục cung cấp các bản vá cập nhật để sửa lỗi này. Lần này họ phải lưu ý các khía cạnh bảo mật của việc sử dụng GDI", B altazar nói. "… Bộ đệm phải có quyền kiểm soát tất cả các bước để kết thúc thành công lệnh in. Điều này có thể sẽ ràng buộc chặt chẽ trình tự và làm cho bộ đệm ít bị xâm nhập hơn."
