Az új Windows Server PrintNightmare Zero-day exploit lehet az új Hafnium

Nemrég jelent meg egy új, javítatlan Zero-day exploit, valamint a Proof-of-Concept kód, amely teljes távoli kódvégrehajtási képességet biztosít a támadóknak a teljesen javított Windows Print Spooler eszközökön.

A PrintNightmare névre keresztelt hacket véletlenül a kínai Sangfor biztonsági cég tette közzé, és összekeverte egy hasonló Print Spooler exploittal, amelyet a Microsoft már javított.

A PrintNightmare azonban hatékony a teljesen javított Windows Server 2019 gépeken, és lehetővé teszi a támadókód futtatását teljes jogosultságokkal.

Mert tudom, hogy szereted a jó videókat #mimikatz de szintén #nyomtatórémálom (CVE-2021-1675?)
* Normál felhasználó a SYSTEM-hez a távoli tartományvezérlőn *

Talán a Microsoft el tud magyarázni néhány dolgot a javításukkal kapcsolatban?
> Egyelőre állítsa le a Spooler szolgáltatást

Köszönöm @_f0rgetting_ & @edwardzpeng pic.twitter.com/bJ3dkxN1fW

— ?????? Benjamin Delpy (@gentilkiwi) Június 30, 2021

A fő enyhítő tényező az, hogy a hackereknek szükségük van bizonyos (akár alacsony jogosultságokkal rendelkező) hitelesítő adatokra a hálózathoz, de a vállalati hálózatok esetében ezek könnyen megvásárolhatók 3 dollár körüli áron.

Ez azt jelenti, hogy a vállalati hálózatok ismét rendkívül sebezhetőek a (különösen ransomware) támadásokkal szemben, és a biztonsági kutatók azt javasolják a vállalatoknak, hogy tiltsák le a Windows Print Spooler-eiket.

További információ a kérdésről itt a BleepingComputerben.