Le correctif hors bande de Microsoft pour PrintNightmare déjà contourné par les pirates

Hier Microsoft a publié un correctif hors bande pour l'exploit PrintNightmare Zero-day qui accorde aux attaquants fonctionnalités complètes d'exécution de code à distance sur les périphériques de spouleur d'impression Windows entièrement corrigés.

Il s'avère cependant que le patch, qui a été publié en un temps record, peut être défectueux.

Microsoft n'a corrigé que l'exploit de code à distance, ce qui signifie que la faille pouvait toujours être utilisée pour l'élévation des privilèges locaux. De plus, les pirates ont rapidement découvert que la faille pouvait toujours être exploitée, même à distance.

Selon le créateur de Mimikatz Benjamin Delpy, le correctif pourrait être contourné pour réaliser l'exécution de code à distance lorsque la politique Point and Print est activée.

Traiter les chaînes et les noms de fichiers est-il difficile ?
Nouvelle fonction dans #mimikatz ? pour normaliser les noms de fichiers (en contournant les vérifications en utilisant UNC au lieu du format \ servershare)

Donc un RCE (et LPE) avec #impressioncauchemar sur un serveur entièrement patché, avec Point & Print activé

> https://t.co/Wzb5GAfWfd pic.twitter.com/HTDf004N7r

— ????? Benjamin Delpy (@gentilkiwi) 7 juillet 2021

Ce contournement a été confirmé par le chercheur en sécurité Will Dorman.

Confirmé.
Si vous avez un système où PointAndPrint NoWarningNoElevationOnInstall = 1, le correctif de Microsoft pour #PrintCauchemar CVE-2021-34527 ne fait rien pour empêcher LPE ou RCE. https://t.co/RgIc1yrnhn pic.twitter.com/Ntxe9wpuke

- Will Dormann (@wdormann) 7 juillet 2021

Actuellement, les chercheurs en sécurité conseillent aux administrateurs de désactiver le service Spouleur d'impression jusqu'à ce que tous les problèmes soient résolus.

Lire beaucoup plus de détails sur BleepingComputer ici.