KONGGRES.COM – Para peneliti mengaku telah mampu melakukan bypass pada pembaruan penambalan darurat Microsoft Windows KB5004945 untuk kerentanan PrintNightmare, dan mencapai eksekusi kode jarak jauh serta eskalasi hak istimewa lokal, meski pembaruan tersebut telah terpasang.
Sebelumnya, Microsoft merilis pembaruan keamanan darurat KB5004945 out of band yang seharusnya memperbaiki kerentanan PrintNightmare yang diungkapkan para peneliti secara tidak sengaja pada bulan lalu.
Setelah pembaruan dirilis, peneliti keamanan Matthew Hickey, salah satu pendiri dari Hacker House dan Will Dorman, analis kerentanan untuk CERT/CC, mengatakan bahwa Microsoft hanya memperbaiki komponen eksekusi kode jarak jauh dari kerentanan.
Namun, malware dan para pelaku peretasan yang menebar ancaman itu masih bisa menggunakan komponen eskalasi hak istimewa lokal untuk bisa mendapatkan hak istimewa sistem pada perangkat yang rentan, hanya jika Point & Print Policy diaktifkan.
Kini, setelah semakin banyak peneliti mulai melakukan modifikasi eksploitasi mereka, dan menguji pembaruan tambalan itu, ditemukan fakta bahwa eksploitasi bisa melakukan bypass seluruh pembaruan tambalan sepenuhnya untuk mencapai eskalasi hak istimewa lokal (LPE) dan eksekusi kode jarak jauh (RCE).
Dormann juga mengkonfirmasi bypass penambalan tersebut di akun Twitternya. Dia juga menjelaskan bagaimana proses bypass sampai pembaruan dari Microsoft itu bisa ditembus.
Untuk melakukan bypass patch PrintNightmare dan mencapai RCE dan LPE, Windows Policy yang bernama Point and Print Restrictions harus diaktifkan, dan pengaturan “When Installing Drivers for a New Connection”, harus disetel menjadi “Do Not Show Warning on Elevation Prompt”.
Policy itu terletak di Computer Configuration → Administrative Templates → Printers → Point and Print Restrictions.
Ketika diaktifkan, “NoWarningNoElevationOnInstall” yang ada di registry HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsNT\Printers\PointAndPrint akan diatur dengan setelan 1 di kunci registry.
Hickey pun menyarankan untuk para admin dan pengguna Windows untuk mematikan layanan Print Spooler untuk melindungi perangkat mereka hingga pembaruan penambalan yang semestinya dirilis.
Microsoft mengaku sedang melakukan investigasi atas klaim bypass pembaruan mereka itu. Mereka mengatakan bahwa bypass itu bisa terjadi, ketika administrator mengganti pengaturan registry terlebih dahulu, di mana itu harus membutuhkan penetrasi atau pembobolan lain. Microsoft juga mengatakan bahwa mereka akan mengambil langkah lebih lanjut untuk melindungi pelanggan mereka jika investigasi mengindikasikan adanya masalah yang lebih serius.
