اصلاح خارج از باند مایکروسافت برای PrintNightmare قبلاً توسط هکرها دور زده شده است
1 دقیقه خواندن
منتشر شده در
صفحه افشای ما را بخوانید تا بدانید چگونه می توانید به MSPoweruser کمک کنید تا تیم تحریریه را حفظ کند ادامه مطلب
دیروز مایکروسافت وصله ای خارج از باند را منتشر کرد برای بهره برداری PrintNightmare Zero-day که به مهاجمین اعطا می کند قابلیت های کامل اجرای کد از راه دور در دستگاه های Windows Print Spooler کاملاً وصله شده.
با این وجود به نظر می رسد که وصله ای که در مدت زمان رکوردی منتشر شد ، ممکن است دارای نقص باشد.
مایکروسافت فقط بهره برداری از کد از راه دور را برطرف کرد ، به این معنی که هنوز می توان از این نقص برای افزایش امتیازات محلی استفاده کرد. بعلاوه هکرها خیلی زود فهمیدند که این نقص می تواند حتی از راه دور مورد سو استفاده قرار گیرد.
به گفته بنیامین دلپی ، خالق Mimikatz ، برای دستیابی به اجرای کد از راه دور هنگامی که خط مشی و چاپ فعال باشد ، می توان از وصله عبور کرد.
کار با رشته ها و نام فایل ها سخت است؟
عملکرد جدید در #mimikatz ?برای عادی سازی نام فایل ها ( دور زدن بررسی ها با استفاده از UNC به جای فرمت \servershare)بنابراین یک RCE (و LPE) با #کابوس شبانه روی سرور کاملاً وصله شده و Point & Print فعال است
> https://t.co/Wzb5GAfWfd pic.twitter.com/HTDf004N7r
-؟؟؟؟؟؟ بنجامین دلپی (@gentilkiwi) ژوئیه 7، 2021
این بای پس توسط محقق امنیتی ویل دورمن تأیید شد.
تایید شده.
اگر سیستمی دارید که در آن PointAndPrint NoWarningNoElevationOnInstall = 1، وصله مایکروسافت برای #کابوس چاپی CVE-2021-34527 هیچ کاری برای جلوگیری از LPE یا RCE انجام نمی دهد. https://t.co/RgIc1yrnhn pic.twitter.com/Ntxe9wpuke- Will Dormann (wdormann) ژوئیه 7، 2021
در حال حاضر ، محققان امنیتی توصیه می كنند كه مدیران تا زمانی كه همه مشكلات برطرف نشود ، سرویس Print Spooler را غیرفعال كنند.
جزئیات بیشتر را در BleepingComputer بخوانید اینجا کلیک نمایید.