Η επιδιόρθωση Out-of-Band της Microsoft για το PrintNightmare έχει ήδη παρακαμφθεί από χάκερ

Εχθές Η Microsoft κυκλοφόρησε μια ενημερωμένη έκδοση κώδικα για την εκμετάλλευση PrintNightmare Zero-day που χορηγεί επιτιθέμενους πλήρεις δυνατότητες απομακρυσμένης εκτέλεσης κώδικα σε πλήρως ενημερωμένες συσκευές Windows Print Spooler.

Αποδεικνύεται ωστόσο ότι το έμπλαστρο, το οποίο κυκλοφόρησε σε χρόνο ρεκόρ, μπορεί να είναι ελαττωματικό.

Η Microsoft διόρθωσε μόνο την εκμετάλλευση απομακρυσμένου κώδικα, πράγμα που σημαίνει ότι το ελάττωμα θα μπορούσε ακόμα να χρησιμοποιηθεί για κλιμάκωση τοπικών προνομίων. Επιπλέον, οι χάκερ σύντομα ανακάλυψαν ότι το ελάττωμα θα μπορούσε να αξιοποιηθεί ακόμη και από απόσταση.

Σύμφωνα με τον δημιουργό του Mimikatz Benjamin Delpy, η ενημερωμένη έκδοση κώδικα θα μπορούσε να παρακαμφθεί για να επιτευχθεί η εκτέλεση απομακρυσμένου κώδικα όταν είναι ενεργοποιημένη η πολιτική σημείου και εκτύπωσης.

Είναι δύσκολο να ασχοληθείς με συμβολοσειρές και ονόματα αρχείων;
Νέα λειτουργία στο #mimikatz ? για την κανονικοποίηση των ονομάτων αρχείων (παρακάμπτοντας τους ελέγχους χρησιμοποιώντας UNC αντί της μορφής \ διακομιστή κοινής χρήσης)

Έτσι ένα RCE (και LPE) με #printnightmare σε πλήρως επιδιορθωμένο διακομιστή, με ενεργοποιημένο το Point & Print

> https://t.co/Wzb5GAfWfd pic.twitter.com/HTDf004N7r

— ????? Benjamin Delpy (@gentilkiwi) Ιούλιος 7, 2021

Αυτή η παράκαμψη επιβεβαιώθηκε από τον ερευνητή ασφαλείας Will Dorman.

Επιβεβαιωμένος.
Εάν έχετε ένα σύστημα όπου PointAndPrint NoWarningNoElevationOnInstall = 1, τότε η ενημέρωση κώδικα της Microsoft για #PrintNightmare Το CVE-2021-34527 δεν αποτρέπει ούτε το LPE ούτε το RCE. https://t.co/RgIc1yrnhn pic.twitter.com/Ntxe9wpuke

- Γουίλ Ντόρμαν (@wdormann) Ιούλιος 7, 2021

Επί του παρόντος, οι ερευνητές ασφαλείας συμβουλεύουν ότι οι διαχειριστές διατηρούν την υπηρεσία Print Spooler απενεργοποιημένη έως ότου επιλυθούν όλα τα ζητήματα.

Διαβάστε περισσότερες λεπτομέρειες στο BleepingComputer εδώ.