Hakkerit ovat jo ohittaneet Microsoftin Out-of-Band-korjauksen PrintNightmarelle

Eilen Microsoft julkaisi kaistan ulkopuolisen korjaustiedoston hyökkääjille myönnetyn PrintNightmare Zero-day -hyödyntämisen kannalta täydelliset koodin etäsuoritusominaisuudet täysin korjatuissa Windowsin tulostustausta-laitteissa.

On käynyt ilmi, että ennätysajassa julkaistu korjaustiedosto voi olla puutteellinen.

Microsoft korjasi vain etäkoodin hyväksikäytön, mikä tarkoittaa, että virhettä voitiin silti käyttää paikallisten käyttöoikeuksien laajentamiseen. Hakkerit huomasivat pian, että virhettä voitiin silti hyödyntää jopa etäyhteyden kautta.

Mimikatz-luojan Benjamin Delpyn mukaan korjaustiedosto voidaan ohittaa koodin etäsuorittamisen saavuttamiseksi, kun kohta- ja tulostuskäytäntö on käytössä.

Onko merkkijonojen ja tiedostonimien käsitteleminen vaikeaa?
Uusi toiminto sisään #mimikatz ?normalisoida tiedostonimiä (ohitamalla tarkistukset käyttämällä UNC:tä \servershare-muodon sijaan)

Joten RCE (ja LPE) kanssa #printpainajainen täysin korjatulla palvelimella, jossa Point & Print on käytössä

> https://t.co/Wzb5GAfWfd pic.twitter.com/HTDf004N7r

— ?????? Benjamin Delpy (@gentilkiwi) Heinäkuu 7, 2021

Tämän ohituksen vahvisti turvallisuustutkija Will Dorman.

Vahvistettu.
Jos sinulla on järjestelmä, jossa PointAndPrint NoWarningNoElevationOnInstall = 1, Microsoftin korjaustiedosto #PrintPainajainen CVE-2021-34527 ei estä LPE:tä tai RCE:tä. https://t.co/RgIc1yrnhn pic.twitter.com/Ntxe9wpuke

- Will Dormann (@wdormann) Heinäkuu 7, 2021

Tällä hetkellä tietoturvatutkijat neuvovat, että järjestelmänvalvojat pitävät Print Spooler -palvelun poissa käytöstä, kunnes kaikki ongelmat on korjattu.

Lue paljon lisätietoja osoitteesta BleepingComputer tätä.