Kerentanan kritis pada Windows Print Spooler, atau dikenal sebagai Print Nightmare, tengah ramai diperbincangkan karena berpotensi menyebabkan infeksi ransomware dan pencurian data.
Pasalnya, baru-baru ini secara tak sengaja, peneliti mempublikasikan proof of concept eksploitasi untuk Print Nightmare. Eksploit memang segera dihapus dari GitHub, tapi beberapa pengguna berhasil mengunduh dan menerbitkannya kembali.
Print Nightmare dapat dimanfaatkan oleh para penjahat siber untuk mengeksekusi kode dari jarak jauh untuk mengendalikan server atau mesin klien yang rentan yang menjalankan layanan Windows Print Spooler. Dengan melakukan ini, penyerang memiliki kesempatan untuk mendistribusikan dan menginstalasi program berbahaya di komputer korban (termasuk pengontrol domain yang rentan), kemudian mencuri data yang tersimpan, dan membuat akun baru dengan hak pengguna secara seutuhnya.
Setelah versi pertama eksploitasi PoC tersedia untuk umum, para peneliti mulai menerbitkan versi lain dari eksploitasi ini. Kerentanan Print Nightmare juga dapat dieksploitasi dalam modul kerangka kerja baru, seperti Mimikatz dan Metasploit. Tak heran jika kemudian para ahli Kaspersky memperkirakan akan semakin banyak upaya untuk mendapatkan akses ke sumber daya perusahaan menggunakan eksploitasi Print Nightmare. Dan yang mengerikan adalah eksploitasi ini disertai risiko tinggi infeksi ransomware dan pencurian data.
“Kerentanan ini memang sangat serius karena memungkinkan pelaku kejahatan siber untuk
mendapatkan akses ke komputer lain dalam jaringan organisasi. Karena eksploitasi tersedia untuk umum, banyak penipu dan pihak tidak bertanggung jawab akan memanfaatkannya. Oleh karena itu, kami menghimbau semua pengguna untuk menerapkan pembaruan keamanan terbaru untuk Windows,” komentar Evgeny Lopatin, pakar keamanan di Kaspersky.
Produk Kaspersky melindungi dari serangan yang memanfaatkan kerentanan ini dan mendeteksi implan berbahaya sebagai berikut:
HEUR:Exploit.Win32.CVE-2021-1675.*
HEUR:Exploit.Win32.CVE-2021-34527.*
HEUR:Exploit.MSIL.CVE-2021-34527.*
HEUR:Exploit.Script.CVE-2021-34527.*
HEUR:Trojan-Dropper.Win32.Pegazus.gen
PDM:Exploit.Win32.Generic
PDM:Trojan.Win32.Generic
Exploit.Win32.CVE-2021-1675.*
Exploit.Win64.CVE-2021-1675.*
Bagaimana pengguna dapat melindungi infrastruktur dari bahaya PrintNightmare?
- Langkah pertama untuk membentengi diri dari serangan PrintNightmare adalah dengan memasang dua patch, Juni dan Juli, dari Microsoft.
- Pengguna juga disarankan untuk menonaktifkan Windows Print Spooler di komputer yang tidak membutuhkan kemampuan mencetak, misalnya server pengontrol domain (domain controller) tidak akan membutuhkan kemampuan tersebut.
- Semua server dan komputer memerlukan solusi keamanan endpoint yang andal yang mampu mencegah upaya eksploitasi baik dari kerentanan yang telah diketahui maupun yang belum, termasuk PrintNightmare.