PrintNightmare: Microsoft afviser i en udtalelse, at patch bypass er en reel trussel
2 min. Læs
Udgivet den
Læs vores oplysningsside for at finde ud af, hvordan du kan hjælpe MSPoweruser med at opretholde redaktionen Læs mere
For to dage siden Microsoft udgav en out-of-band-patch til PrintNightmare Zero-day-udnyttelsen, der giver angribere fulde funktioner til fjernudførelse af kode på fuldt patchede Windows Print Spooler-enheder, og en dag senere viste flere hackere, at patchen let kunne omgås.
Er det svært at håndtere strenge og filnavne?
Ny funktion i #mimikatz ? for at normalisere filnavne (omgå kontrol ved at bruge UNC i stedet for \ servershare-format)Så en RCE (og LPE) med #printmareridt på en fuldt patched server, med Point & Print aktiveret
> https://t.co/Wzb5GAfWfd pic.twitter.com/HTDf004N7r
— ????? Benjamin Delpy (@gentilkiwi) Juli 7, 2021
Bekræftet.
Hvis du har et system, hvor PointAndPrint NoWarningNoElevationOnInstall = 1, så Microsofts patch til #PrintNightmare CVE-2021-34527 gør intet for at forhindre hverken LPE eller RCE. https://t.co/RgIc1yrnhn pic.twitter.com/Ntxe9wpuke- Will Dormann (@wdormann) Juli 7, 2021
Microsoft har nu udsendt en erklæring til BleepingComputer benægte, at omfartsvejen udgjorde en realistisk trussel, og sagde:
"Vi er opmærksomme på krav og undersøger det, men på nuværende tidspunkt er vi ikke opmærksomme på nogen bypass," fortsætter "Vi har set påstande om bypass, hvor en administrator har ændret standardindstillingerne i registreringsdatabasen til en usikker konfiguration. Se CVE-2021-34527-vejledningen for at få flere oplysninger om de nødvendige indstillinger for at sikre dit system. ”
Microsoft betyder formentlig at aktivere installationen af drivere uden en advarsel, hvor virksomheden insisterer på, at standardkonfigurationen er sikker.
Microsoft siger, efter at have installeret patchen, skal du sørge for, at følgende registreringsdatabaseværdier (hvis de findes) er indstillet til nul:
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
- NoWarningNoElevationOnInstall = 0 (DWORD) eller ikke defineret (standardindstilling)
- UpdatePromptSettings = 0 (DWORD) eller ikke defineret (standardindstilling)
Det, der er klart, er, at du har brug for mere end plasteret for at være virkelig sikker. Læs Microsofts fulde konfigurationsvejledning link..