Eksploitasi Windows Server PrintNightmare Zero-day baru mungkin merupakan Hafnium baru

Eksploitasi Zero-day yang baru dan belum ditambal baru saja dirilis, bersama dengan kode Proof-of-Concept, yang memberi penyerang kemampuan Eksekusi Kode Jarak Jauh penuh pada perangkat Windows Print Spooler yang sepenuhnya ditambal.

Peretasan, yang disebut PrintNightmare, secara tidak sengaja dirilis oleh perusahaan keamanan Cina Sangfor, yang mengacaukannya dengan eksploitasi Print Spooler serupa yang telah ditambal oleh Microsoft.

Namun PrintNightmare efektif pada mesin Windows Server 2019 yang sepenuhnya ditambal dan memungkinkan kode penyerang dijalankan dengan hak penuh.

Karena saya tahu Anda menyukai video yang bagus dengan #mimikatz tetapi juga #printnightmare (CVE-2021-1675?)
* Pengguna standar ke SISTEM pada pengontrol domain jarak jauh *

Mungkin Microsoft dapat menjelaskan beberapa hal tentang perbaikan mereka?
> Untuk saat ini, hentikan layanan Spooler

Terima kasih @_f0mendapatkan_ & @edward_indonesia pic.twitter.com/bJ3dkxN1fW

— ???? Benjamin Delpy (@gentilkiwi) Juni 30, 2021

Faktor mitigasi utama adalah bahwa peretas memerlukan beberapa kredensial (bahkan hak istimewa rendah) untuk jaringan, tetapi untuk jaringan perusahaan, ini dapat dengan mudah dibeli dengan harga sekitar $3.

Ini berarti jaringan perusahaan sekali lagi sangat rentan terhadap serangan (terutama ransomware), dengan peneliti keamanan merekomendasikan perusahaan menonaktifkan Windows Print Spoolers mereka.

Baca lebih lanjut tentang masalah tersebut di BleepingComputer sini.