PrintNightmare: Dalam pernyataan Microsoft menyangkal bahwa patch bypass adalah ancaman nyata
2 menit Baca
Ditampilkan di
Bagikan artikel ini
Sempurnakan panduan ini
Baca halaman pengungkapan kami untuk mengetahui bagaimana Anda dapat membantu MSPoweruser mempertahankan tim editorial Baca lebih lanjut
Dua hari yang lalu Microsoft merilis patch out-of-band untuk eksploitasi PrintNightmare Zero-day yang memberikan penyerang kemampuan Eksekusi Kode Jarak Jauh penuh pada perangkat Windows Print Spooler yang sepenuhnya ditambal, dan sehari kemudian beberapa peretas menunjukkan bahwa tambalan itu dapat dengan mudah dilewati.
Berurusan dengan string & nama file itu sulit?
Fungsi baru di #mimikatz ?untuk menormalkan nama file (melewati pemeriksaan dengan menggunakan UNC alih-alih format \servershare)Jadi RCE (dan LPE) dengan #printnightmare pada server yang sepenuhnya ditambal, dengan Titik & Cetak diaktifkan
> https://t.co/Wzb5GAfWfd pic.twitter.com/HTDf004N7r
— ???? Benjamin Delpy (@gentilkiwi) Juli 7, 2021
Dikonfirmasi.
Jika Anda memiliki sistem di mana PointAndPrint NoWarningNoElevationOnInstall = 1, maka patch Microsoft untuk #CetakMimpi Buruk CVE-2021-34527 tidak melakukan apa pun untuk mencegah LPE atau RCE. https://t.co/RgIc1yrnhn pic.twitter.com/Ntxe9wpuke- Will Dormann (@wdormann) Juli 7, 2021
Microsoft kini telah mengeluarkan pernyataan untuk BleepingComputer menyangkal bahwa jalan pintas itu menghadirkan ancaman yang realistis, dengan mengatakan:
“Kami mengetahui klaim dan sedang menyelidiki, tetapi saat ini kami tidak mengetahui adanya bypass,” melanjutkan “Kami telah melihat klaim bypass di mana administrator telah mengubah pengaturan registri default ke konfigurasi yang tidak aman. Lihat panduan CVE-2021-34527 untuk informasi lebih lanjut tentang pengaturan yang diperlukan untuk mengamankan sistem Anda. ”
Microsoft mungkin berarti mengaktifkan penginstalan driver tanpa peringatan, dengan perusahaan bersikeras bahwa konfigurasi default aman.
Microsoft mengatakan setelah menerapkan tambalan, pastikan nilai registri berikut (jika ada) disetel ke nol:
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
- NoWarningNoElevationOnInstall = 0 (DWORD) atau tidak ditentukan (pengaturan default)
- UpdatePromptSettings = 0 (DWORD) atau tidak ditentukan (pengaturan default)
Yang jelas, Anda membutuhkan lebih dari sekadar tambalan agar benar-benar aman. Baca panduan konfigurasi lengkap Microsoft di sini.
