Le correctif hors bande de Microsoft pour PrintNightmare déjà contourné par les pirates
1 minute. lis
Publié le
Lisez notre page de divulgation pour savoir comment vous pouvez aider MSPoweruser à soutenir l'équipe éditoriale En savoir plus
Hier Microsoft a publié un correctif hors bande pour l'exploit PrintNightmare Zero-day qui accorde aux attaquants fonctionnalités complètes d'exécution de code à distance sur les périphériques de spouleur d'impression Windows entièrement corrigés.
Il s'avère cependant que le patch, qui a été publié en un temps record, peut être défectueux.
Microsoft n'a corrigé que l'exploit de code à distance, ce qui signifie que la faille pouvait toujours être utilisée pour l'élévation des privilèges locaux. De plus, les pirates ont rapidement découvert que la faille pouvait toujours être exploitée, même à distance.
Selon le créateur de Mimikatz Benjamin Delpy, le correctif pourrait être contourné pour réaliser l'exécution de code à distance lorsque la politique Point and Print est activée.
Traiter les chaînes et les noms de fichiers est-il difficile ?
Nouvelle fonction dans #mimikatz ? pour normaliser les noms de fichiers (en contournant les vérifications en utilisant UNC au lieu du format \ servershare)Donc un RCE (et LPE) avec #impressioncauchemar sur un serveur entièrement patché, avec Point & Print activé
> https://t.co/Wzb5GAfWfd pic.twitter.com/HTDf004N7r
— ????? Benjamin Delpy (@gentilkiwi) 7 juillet 2021
Ce contournement a été confirmé par le chercheur en sécurité Will Dorman.
Confirmé.
Si vous avez un système où PointAndPrint NoWarningNoElevationOnInstall = 1, le correctif de Microsoft pour #PrintCauchemar CVE-2021-34527 ne fait rien pour empêcher LPE ou RCE. https://t.co/RgIc1yrnhn pic.twitter.com/Ntxe9wpuke- Will Dormann (@wdormann) 7 juillet 2021
Actuellement, les chercheurs en sécurité conseillent aux administrateurs de désactiver le service Spouleur d'impression jusqu'à ce que tous les problèmes soient résolus.
Lire beaucoup plus de détails sur BleepingComputer ici.