KONGGRES.COM – Microsoft menerbitkan peringatan mendesak mengenai kerentanan keamanan yang ada di Windows 10, yang bernama PrintNightmare. Kerentanan ini memungkinkan para peretas untuk melakukan pengontrolan secara jarak jauh terhadap perangkat PC korban. Eksploitnya bergantung pada kecacatan di layanan Windows Print Spooler, dan Microsoft mengatakan telah mengetahui eksploit tersebut sedang banyak dimanfaatkan di luar sana.
PrintNightmare atau CVE-2021-34527, dinilai oleh Microsoft sebagai situasi yang sedang berkembang. Peneliti di Sangfor telah mengidentifikasi kerentanan tersebut, dan menerbitkan bukti eksploitasi konsep, yang tampaknya dengan asumsi bahwa patch yang berbeda telah mengatasi masalah tersebut.
We deleted the POC of PrintNightmare. To mitigate this vulnerability, please update Windows to the latest version, or disable the Spooler service. For more RCE and LPE in Spooler, stay tuned and wait our Blackhat talk. https://t.co/heHeiTCsbQ
— zhiniang peng (@edwardzpeng) June 29, 2021
Faktanya, Microsoft telah menambal kerentanan yang berbeda, yang juga memanfaatkan bug dan kerentanan di layanan printer di Windows, yang di mana kemudian berujung membuat bingung para peneliti. Tim keamanan kemudian menarik kode eksploit mereka, namun eksploit itu sudah terlanjur menyebar di internet.
“Kerentanan eksekusi kode jarak jauh terjadi ketika layanan Windows Print Spooler melakukan operasi file yang diistimewakan secara tidak benar. Seorang peretas yang berhasil mengeksploitasi kerentanan ini dapat menjalankan kode arbitrer dengan hak istimewa. Peretas kemudian bisa memasang program, melihat, mengubah atau menghapus data, atau membuat akun baru dengan hak pengguna penuh,” kata Microsoft.
Sayangnya, masih belum ada tambalan yang pasti untuk dipasang sebagai pencegahan kode eksploit itu. Sebagai gantinya, Microsoft menyarankan untuk memastikan bahwa sistem yang digunakan telah menjalankan pembaruan keamanan yang dirilis pada 8 Juni 2021 lalu.
Microsoft juga menyarankan melakukan pencegahan sementara dengan menonaktifkan layanan Print Spooler sama sekali, atau menonaktifkan pencetakan jarak jauh melalui perubahan pada sistem Group Policy.
Pada dasarnya, kedua cara itu bukanlah solusi yang ideal, terlebih untuk jangka panjang. Dengan mematikan layanan Print Spooler sama sekali, pengguna akan kehilangan kemampuan untuk mencetak secara lokal maupun jarak jauh.
Namun hal itu mungkin sepadan, mengingat skala potensi kerentanannya yang sangat serius. Dengan hak istimewa sistem penuh, peretas bisa menggunakan akses itu untuk menjalankan kode atau menghapus program, melakukan hampir semua hal yang mereka inginkan dengan perangkat korbannya.