Το νέο Windows Server PrintNightmare Zero-day exploit μπορεί να είναι το νέο Hafnium

Μόλις κυκλοφόρησε μια νέα και μη επιδιορθωμένη εκμετάλλευση Zero-day, μαζί με τον κώδικα Proof-of-Concept, ο οποίος παρέχει στους εισβολείς πλήρεις δυνατότητες Απομακρυσμένης Εκτέλεσης Κώδικα σε πλήρως ενημερωμένες συσκευές Windows Print Spooler.

Το hack, που ονομάζεται PrintNightmare, κυκλοφόρησε κατά λάθος από την κινεζική εταιρεία ασφαλείας Sangfor, η οποία το μπέρδεψε με ένα παρόμοιο exploit Print Spooler το οποίο η Microsoft έχει ήδη διορθώσει.

Ωστόσο, το PrintNightmare είναι αποτελεσματικό σε πλήρως επιδιορθωμένα μηχανήματα Windows Server 2019 και επιτρέπει στον κώδικα εισβολέα να εκτελείται με πλήρη δικαιώματα.

Γιατί ξέρω ότι σου αρέσουν τα καλά βίντεο #mimikatz αλλά επίσης #printnightmare (CVE-2021-1675;)
* Τυπικός χρήστης στο SYSTEM στον απομακρυσμένο ελεγκτή τομέα *

Ίσως η Microsoft μπορεί να εξηγήσει κάποια πράγματα σχετικά με την επιδιόρθωση;
> Προς το παρόν, σταματήστε την υπηρεσία Spooler

Ευχαριστούμε @_f0rgetting_ & @edwardzpeng pic.twitter.com/bJ3dkxN1fW

— ????? Benjamin Delpy (@gentilkiwi) Ιούνιος 30, 2021

Ο κύριος ελαφρυντικός παράγοντας είναι ότι οι χάκερ χρειάζονται ορισμένα διαπιστευτήρια (ακόμη και χαμηλών προνομίων) για το δίκτυο, αλλά για εταιρικά δίκτυα, αυτά μπορούν εύκολα να αγοραστούν για περίπου 3 $.

Αυτό σημαίνει ότι τα εταιρικά δίκτυα είναι και πάλι εξαιρετικά ευάλωτα σε επιθέσεις (ειδικά ransomware), με τους ερευνητές ασφαλείας να συνιστούν στις εταιρείες να απενεργοποιούν τα Windows Print Spoolers.

Διαβάστε περισσότερα σχετικά με το ζήτημα στο BleepingComputer εδώ.