Los piratas informáticos ya han pasado por alto la solución fuera de banda de Microsoft para PrintNightmare
1 minuto. leer
Publicado el
Lea nuestra página de divulgación para descubrir cómo puede ayudar a MSPoweruser a sostener el equipo editorial. Leer más
Ayer Microsoft lanzó un parche fuera de banda para el exploit PrintNightmare Zero-day que otorga a los atacantes capacidades completas de ejecución remota de código en dispositivos Windows Print Spooler con parches completos.
Sin embargo, resulta que el parche, que se lanzó en un tiempo récord, puede tener fallas.
Microsoft solo corrigió el exploit de código remoto, lo que significa que la falla aún podría usarse para la escalada de privilegios locales. Además, los piratas informáticos pronto descubrieron que la falla aún podía explotarse incluso de forma remota.
Según el creador de Mimikatz, Benjamin Delpy, el parche podría omitirse para lograr la ejecución remota de código cuando la política de apuntar e imprimir está habilitada.
¿Es difícil lidiar con cadenas y nombres de archivos?
Nueva función en #mimikatz ? para normalizar los nombres de los archivos (omitiendo las comprobaciones mediante el uso de UNC en lugar del formato \ servershare)Entonces, un RCE (y LPE) con #impresion en un servidor completamente parcheado, con Point & Print habilitado
> https://t.co/Wzb5GAfWfd pic.twitter.com/HTDf004N7r
— ????? Benjamín Delpy (@gentilkiwi) 7 de Julio de 2021
Este desvío fue confirmado por el investigador de seguridad Will Dorman.
Confirmado.
Si tiene un sistema donde PointAndPrint NoWarningNoElevationOnInstall = 1, entonces el parche de Microsoft para #ImprimirPesadilla CVE-2021-34527 no hace nada para evitar LPE o RCE. https://t.co/RgIc1yrnhn pic.twitter.com/Ntxe9wpuke- Will Dormann (@wdormann) 7 de Julio de 2021
Actualmente, los investigadores de seguridad recomiendan que los administradores mantengan desactivado el servicio de cola de impresión hasta que se solucionen todos los problemas.
Lea muchos más detalles en BleepingComputer esta página.