PrintDemont, Kode yang Menyerang Layanan Printer Windows
Ilustrasi
Cyberthreat.id - Dua peneliti keamanan baru-baru ini merilis laporan tentang kerentanan dalam layanan pencetakan/printer (printing service) Windows. Menurut keterangan peneliti, kerentanan mempengaruhi semua versi Windows, bahkan Windows NT 4 yang telah ada sejak tahun 1996.
Diberi kode nama sebagai PrintDemon, kerentanan terletak di Windows Print Spooler, komponen utama dari antarmuka (interface) Windows printing. Windows Print Spooler dapat mengirim data untuk dicetak ke port USB/paralel, port transmission control protocol (TCP), atau file lokal.
Berdasarkan keterangan laporan penelitian, kerentanan yang ditemukan dalam komponen dapat disalahgunakan untuk menyita mekanisme internal Printer Spooler.
Kerentanan tidak dapat dieksploitasi untuk membobol klien Windows dari jarak jauh atau meretas sistem Windows secara acak melalui internet.
Para peneliti menggambarkan PrintDemon sebagai kerentanan peningkatan local privilege escalation (LPE).
Setelah menginvasi aplikasi atau mesin Windows, bahkan dengan privilege mode pengguna, hacker dapat menjalankan fungsi sederhana sebagai satu perintah PowerShell yang tidak terjangkau untuk mencapai hak istimewa level administrator atas seluruh sistem operasi.
Apa yang bisa dilakukan hacker?
Layanan Print Spooler ada di setiap aplikasi yang berjalan pada suatu sistem, tanpa batasan, yang memungkinkan hacker untuk membuat pekerjaan cetak yang mencetak ke file.
Hacker dapat memulai operasi pencetakan, menghentikan (crash) layanan Print Spooler, dan membiarkan pekerjaan dilanjutkan. Namun, kali ini operasi pencetakan berjalan dengan hak istimewa sistem, memungkinkan penyerang untuk menimpa file apa pun di sistem operasi (OS).
Sementara eksploitasi pada versi sistem operasi yang ada membutuhkan satu baris PowerShell. Untuk versi Windows yang lebih lama mungkin perlu sedikit penyesuaian.
Pada sistem yang tidak ditambal, penyerang dapat memasang backdoor yang "gigih". Bahkan backdoor ini tidak akan hilang bahkan setelah sistem ditambal.
Microsoft telah merilis perbaikan untuk PrintDemon yang diidentifikasi sebagai CVE-2020-1048. Pembaruan dilakukan pada Patch Tuesday bulan Mei 2020.
Salah satu dari dua peneliti telah menerbitkan kode konsep-bukti (proof-of-concept) di GitHub untuk membantu para peneliti keamanan dan administrator sistem memeriksa kerentanan dan menyusun mitigasi serta meningkatkan kemampuan deteksi.[]
