Uusi Windows Server PrintNightmare Zero-day -hyökkäys voi olla uusi Hafnium

Uusi ja korjaamaton Zero-day-hyödyntäminen on juuri julkaistu sekä Proof-of-Concept-koodi, joka antaa hyökkääjille täydelliset koodin etäsuoritusominaisuudet täysin korjatuissa Windows Print Spooler -laitteissa.

PrintNightmare-nimisen hakkeroinnin julkaisi vahingossa kiinalainen tietoturvayhtiö Sangfor, joka sekoitti sen samanlaiseen Print Spooler -hyökkäykseen, jonka Microsoft on jo korjannut.

PrintNightmare on kuitenkin tehokas täysin korjatuissa Windows Server 2019 -koneissa ja sallii hyökkääjäkoodin suorittamisen kaikilla oikeuksilla.

Koska tiedän, että rakastat hyviä videoita #mimikatz mutta myös #printpainajainen (CVE-2021-1675?)
* Vakiokäyttäjä SYSTEMiin etätoimialueen ohjaimella *

Ehkä Microsoft voi selittää jotain heidän korjauksestaan?
> Pysäytä taustatulostuspalvelu toistaiseksi

Kiitos @_f0rgetting_ & @edwardzpeng pic.twitter.com/bJ3dkxN1fW

— ?????? Benjamin Delpy (@gentilkiwi) Kesäkuu 30, 2021

Pääasiallinen lieventävä tekijä on, että hakkerit tarvitsevat joitain (jopa heikommassa asemassa olevia) verkkotunnuksia, mutta yritysverkoissa ne voidaan ostaa helposti noin 3 dollarilla.

Tämä tarkoittaa, että yritysverkot ovat jälleen erittäin haavoittuvia (etenkin kiristysohjelmien) hyökkäyksille, ja tietoturvatutkijat suosittelevat yrityksiä poistamaan Windows Print Spooler -toiminnot käytöstä.

Lue lisää aiheesta täällä BleepingComputerissa.