Hakeri su već zaobišli Microsoftov izvanpojasni popravak za PrintNightmare
1 min. čitati
Objavljeno na
Podijelite ovaj članak
Poboljšajte ovaj vodič
Pročitajte našu stranicu za otkrivanje kako biste saznali kako možete pomoći MSPoweruseru da održi urednički tim Čitaj više
Jučer Microsoft je objavio zakrpu izvan opsega za PrintNightmare Zero-day exploit koji pruža napadačima pune mogućnosti daljinskog izvršavanja koda na potpuno zakrpanim uređajima Windows Print Spooler.
Ispostavilo se međutim da zakrpa koja je izdana u rekordnom roku može biti manjkava.
Microsoft je samo popravio daljinsko iskorištavanje koda, što znači da se taj nedostatak i dalje mogao koristiti za lokalnu eskalaciju privilegija. Uz to, hakeri su ubrzo otkrili da se taj nedostatak i dalje može iskoristiti i na daljinu.
Prema tvorcu Mimikatza Benjaminu Delpyju, zakrpa bi se mogla zaobići kako bi se postiglo daljinsko izvršavanje koda kada su omogućena pravila Point and Print.
Je li teško nositi se sa nizovima i nazivima datoteka?
Nova funkcija u #mimikatz ?normalizirati nazive datoteka (zaobilazeći provjere korištenjem UNC umjesto formata \servershare)Dakle, RCE (i LPE) s #ispisnoćna mora na potpuno zakrpljenom poslužitelju, s omogućenim Point & Print
> https://t.co/Wzb5GAfWfd pic.twitter.com/HTDf004N7r
— ????? Benjamin Delpy (@gentilkiwi) Srpanj 7, 2021
Ovu zaobilaznicu potvrdio je istraživač sigurnosti Will Dorman.
Potvrđeno.
Ako imate sustav u kojem je PointAndPrint NoWarningNoElevationOnInstall = 1, onda Microsoftova zakrpa za #PrintNoćna mora CVE-2021-34527 ne čini ništa da spriječi ni LPE ni RCE. https://t.co/RgIc1yrnhn pic.twitter.com/Ntxe9wpuke- Will Dormann (@wdormann) Srpanj 7, 2021
Trenutno istraživači sigurnosti savjetuju administratorima da onemoguće uslugu Print Spooler dok se svi problemi ne riješe.
Pročitajte mnogo više detalja na BleepingComputeru ovdje.
