Le nouveau hack PrintNightmare signifie que tout utilisateur peut obtenir des privilèges d'administrateur sur son PC

PrintNightmare de Microsoft refuse de se terminer, avec une autre version du hack, ce qui signifie que tout utilisateur peut obtenir des privilèges d'administrateur sur son PC, même à partir d'un compte limité.

Le hack a été développé par  Benjamin Depy et profite du fait que Windows est assez heureux d'installer des pilotes à partir de serveurs d'impression distants et d'exécuter ces pilotes au niveau de privilège système, et que même les utilisateurs limités peuvent installer des imprimantes distantes.

Vous voulez tester #impressioncauchemar (ep 4.x) utilisateur-système en tant que service ??
(POC uniquement, écrira un fichier journal sur system32)

se connecter à \https://t.co/6Pk2UnOXaG comprenant
– utilisateur : .gentilguest
– mot de passe : mot de passe

Ouvrez 'Kiwi Legit Printer - x64', puis 'Kiwi Legit Printer - x64 (un autre)' pic.twitter.com/zHX3aq9PpM

— ????? Benjamin Delpy (@gentilkiwi) 17 juillet 2021

Il a mis en place un serveur d'impression à distance à \\printnightmare[.]gentilkiwi[.]com qui télécharge un pilote piraté qui ouvre une invite système, ce qui signifie que les utilisateurs d'entreprise ou les pirates ayant accès à un compte limité peuvent désormais facilement élever les privilèges et obtenir le contrôle complet de leur PC.

Trouver plus d'informations.

BleepingComputer a testé le hack sur un PC entièrement patché exécutant Windows 10 21H1, et à l'exception du pilote malveillant détecté par Windows Defender, l'exploit a fonctionné sans problème comme prévu.

Jusqu'à ce que Microsoft corrige le problème, l'atténuation est plutôt difficile, allant de la désactivation du spouleur d'impression et essentiellement de toutes les impressions à la création d'une liste personnalisée d'imprimantes distantes que les utilisateurs sont autorisés à installer.

En savoir plus sur le piratage et les mesures d'atténuation possibles sur BleepingComputer ici.