Le nouvel exploit Windows Server PrintNightmare Zero-day pourrait être le nouveau Hafnium

Un nouvel exploit Zero-day non corrigé vient d'être publié, ainsi qu'un code de preuve de concept, qui offre aux attaquants des capacités complètes d'exécution de code à distance sur les appareils Windows Print Spooler entièrement corrigés.

Le hack, appelé PrintNightmare, a été accidentellement publié par la société de sécurité chinoise Sangfor, qui l'a confondu avec un exploit similaire Print Spooler que Microsoft a déjà corrigé.

PrintNightmare est cependant efficace sur les machines Windows Server 2019 entièrement corrigées et permet au code de l'attaquant de s'exécuter avec tous les privilèges.

Parce que je sais que tu aimes les bonnes vidéos avec #mimikatz mais aussi #impressioncauchemar ( CVE-2021-1675 ?)
* Utilisateur standard de SYSTEM sur le contrôleur de domaine distant *

Peut-être que Microsoft peut expliquer certaines choses sur leur correctif ?
> Pour l'instant, arrêtez le service Spooler

Merci @_f0rgetting_ & @edwardzpeng pic.twitter.com/bJ3dkxN1fW

— ????? Benjamin Delpy (@gentilkiwi) Le 30 juin 2021

Le principal facteur atténuant est que les pirates ont besoin de certaines informations d'identification (même à faible privilège) pour le réseau, mais pour les réseaux d'entreprise, celles-ci peuvent être facilement achetées pour environ 3 $.

Cela signifie que les réseaux d'entreprise sont à nouveau extrêmement vulnérables aux attaques (en particulier aux ransomwares), les chercheurs en sécurité recommandant aux entreprises de désactiver leurs spouleurs d'impression Windows.

En savoir plus sur le problème à BleepingComputer ici.