A Microsoft PrintNightmare sávon kívüli javítását már megkerülték a hackerek

Tegnap A Microsoft kiadott egy sávon kívüli javítást a támadókat támogató PrintNightmare Zero-day kiaknázáshoz teljes távoli kódvégrehajtási képesség a teljesen javított Windows Print Spooler eszközökön.

Kiderült azonban, hogy a rekordidő alatt kiadott javítás hibás lehet.

A Microsoft csak a távoli kód kihasználását javította, vagyis a hiba továbbra is felhasználható a helyi privilégiumok eszkalálására. Ezenkívül a hackerek hamar felfedezték, hogy a hiba még távolról is kihasználható.

Benjamin Delpy, a Mimikatz készítője szerint a javítás megkerülhető a távoli kódfuttatás elérése érdekében, amikor a Pont és nyomtatás házirend engedélyezve van.

Nehéz kezelni a karakterláncokat és fájlneveket?
Új funkció bekerült #mimikatz ?a fájlnevek normalizálása (az ellenőrzések megkerülése UNC használatával a \servershare formátum helyett)

Tehát egy RCE (és LPE) azzal #nyomtatórémálom teljesen javított szerveren, a Point & Print engedélyezve

> https://t.co/Wzb5GAfWfd pic.twitter.com/HTDf004N7r

— ?????? Benjamin Delpy (@gentilkiwi) Július 7, 2021

Ezt az elkerülést Will Dorman biztonsági kutató megerősítette.

Megerősített.
Ha olyan rendszere van, ahol a PointAndPrint NoWarningNoElevationOnInstall = 1, akkor a Microsoft javítása #NyomtatásNightmare A CVE-2021-34527 nem akadályozza meg sem az LPE-t, sem az RCE-t. https://t.co/RgIc1yrnhn pic.twitter.com/Ntxe9wpuke

- Will Dormann (@wdormann) Július 7, 2021

Jelenleg a biztonsági kutatók azt tanácsolják, hogy az adminisztrátorok tartsák tiltva a Print Spooler szolgáltatást, amíg az összes probléma meg nem oldódik.

Sokkal részletesebben olvashat a BleepingComputer oldalon itt.