Ny Windows Server PrintNightmare Zero-day udnyttelse kan være den nye Hafnium
1 min. Læs
Opdateret den
Del denne artikel
Forbedre denne vejledning
Læs vores oplysningsside for at finde ud af, hvordan du kan hjælpe MSPoweruser med at opretholde redaktionen Læs mere
En ny og ikke-patchet Zero-day exploit er netop blevet frigivet sammen med Proof-of-Concept-kode, som giver angribere fuld fjernudførelse af kode på fuldt patchede Windows Print Spooler-enheder.
Hacket, kaldet PrintNightmare, blev ved et uheld frigivet af det kinesiske sikkerhedsfirma Sangfor, som forvekslede det med en lignende Print Spooler-udnyttelse, som Microsoft allerede har rettet.
PrintNightmare er imidlertid effektiv på fuldt patchede Windows Server 2019-maskiner og tillader angriberkode at køre med fulde privilegier.
For jeg ved, du elsker gode videoer med #mimikatz men også #printmareridt (CVE-2021-1675?)
* Standardbruger til SYSTEM på fjerndomænecontroller *Måske kan Microsoft forklare nogle ting om deres rettelse?
> Stop Spooler-tjenesten indtil videreTak @_f0rgetting_ & @edwardzpeng pic.twitter.com/bJ3dkxN1fW
— ????? Benjamin Delpy (@gentilkiwi) 30. Juni, 2021
Den vigtigste formildende faktor er, at hackere har brug for nogle (endda lavprivilegerede) legitimationsoplysninger til netværket, men for virksomhedsnetværk kan disse nemt købes for omkring $3.
Dette betyder, at virksomhedsnetværk igen er ekstremt sårbare over for (især ransomware) angreb, hvor sikkerhedsforskere anbefaler virksomheder at deaktivere deres Windows Print Spoolers.
Læs mere om emnet hos BleepingComputer her.
