A Microsoft PrintNightmare sávon kívüli javítását már megkerülték a hackerek
1 perc olvas
Publikálva
Olvassa el közzétételi oldalunkat, hogy megtudja, hogyan segítheti az MSPowerusert a szerkesztői csapat fenntartásában Tovább
Tegnap A Microsoft kiadott egy sávon kívüli javítást a támadókat támogató PrintNightmare Zero-day kiaknázáshoz teljes távoli kódvégrehajtási képesség a teljesen javított Windows Print Spooler eszközökön.
Kiderült azonban, hogy a rekordidő alatt kiadott javítás hibás lehet.
A Microsoft csak a távoli kód kihasználását javította, vagyis a hiba továbbra is felhasználható a helyi privilégiumok eszkalálására. Ezenkívül a hackerek hamar felfedezték, hogy a hiba még távolról is kihasználható.
Benjamin Delpy, a Mimikatz készítője szerint a javítás megkerülhető a távoli kódfuttatás elérése érdekében, amikor a Pont és nyomtatás házirend engedélyezve van.
Nehéz kezelni a karakterláncokat és fájlneveket?
Új funkció bekerült #mimikatz ?a fájlnevek normalizálása (az ellenőrzések megkerülése UNC használatával a \servershare formátum helyett)Tehát egy RCE (és LPE) azzal #nyomtatórémálom teljesen javított szerveren, a Point & Print engedélyezve
> https://t.co/Wzb5GAfWfd pic.twitter.com/HTDf004N7r
— ?????? Benjamin Delpy (@gentilkiwi) Július 7, 2021
Ezt az elkerülést Will Dorman biztonsági kutató megerősítette.
Megerősített.
Ha olyan rendszere van, ahol a PointAndPrint NoWarningNoElevationOnInstall = 1, akkor a Microsoft javítása #NyomtatásNightmare A CVE-2021-34527 nem akadályozza meg sem az LPE-t, sem az RCE-t. https://t.co/RgIc1yrnhn pic.twitter.com/Ntxe9wpuke- Will Dormann (@wdormann) Július 7, 2021
Jelenleg a biztonsági kutatók azt tanácsolják, hogy az adminisztrátorok tartsák tiltva a Print Spooler szolgáltatást, amíg az összes probléma meg nem oldódik.
Sokkal részletesebben olvashat a BleepingComputer oldalon itt.