La correzione Out-of-Band di Microsoft per PrintNightmare è già stata aggirata dagli hacker

Ieri Microsoft ha rilasciato una patch fuori banda per l'exploit PrintNightmare Zero-day che concede agli aggressori funzionalità complete di esecuzione di codice in remoto su dispositivi spooler di stampa Windows completamente patchati.

Si scopre tuttavia che la patch, rilasciata a tempo di record, potrebbe essere difettosa.

Microsoft ha corretto solo l'exploit del codice remoto, il che significa che il difetto poteva ancora essere utilizzato per l'escalation dei privilegi locali. Inoltre gli hacker hanno presto scoperto che la falla poteva ancora essere sfruttata anche da remoto.

Secondo il creatore di Mimikatz Benjamin Delpy, la patch potrebbe essere ignorata per ottenere l'esecuzione del codice remoto quando il criterio Point and Print è abilitato.

Gestire stringhe e nomi di file è difficile?
Nuova funzione in #mimikatz ?per normalizzare i nomi dei file (ignorando i controlli utilizzando UNC invece del formato \servershare)

Quindi un RCE (e LPE) con #stampaincubo su un server completamente patchato, con Point & Print abilitato

> https://t.co/Wzb5GAfWfd pic.twitter.com/HTDf004N7r

— ???? Benjamin Delpy (@gentilkiwi) Luglio 7, 2021

Questo bypass è stato confermato dal ricercatore di sicurezza Will Dorman.

Confermato.
Se hai un sistema in cui PointAndPrint NoWarningNoElevationOnInstall = 1, allora la patch di Microsoft per #StampaIncubo CVE-2021-34527 non impedisce né LPE né RCE. https://t.co/RgIc1yrnhn pic.twitter.com/Ntxe9wpuke

- Will Dormann (@wdormann) Luglio 7, 2021

Attualmente, i ricercatori sulla sicurezza consigliano agli amministratori di mantenere il servizio Print Spooler disabilitato fino a quando tutti i problemi non vengono risolti.

Leggi molti più dettagli su BleepingComputer qui.