Il nuovo exploit zero-day di Windows Server PrintNightmare potrebbe essere il nuovo Hafnium

È stato appena rilasciato un nuovo exploit Zero-day senza patch, insieme al codice Proof-of-Concept, che garantisce agli aggressori funzionalità complete di esecuzione di codice in modalità remota su dispositivi Windows Print Spooler dotati di patch complete.

L'hack, chiamato PrintNightmare, è stato accidentalmente rilasciato dalla società di sicurezza cinese Sangfor, che lo ha confuso con un exploit simile di Print Spooler che Microsoft ha già corretto.

PrintNightmare, tuttavia, è efficace sui computer Windows Server 2019 dotati di patch complete e consente l'esecuzione del codice dell'utente malintenzionato con privilegi completi.

Perché so che adori i bei video con #mimikatz ma anche #stampaincubo ( CVE-2021-1675 ?)
* Utente standard su SYSTEM sul controller di dominio remoto *

Forse Microsoft può spiegare alcune cose sulla loro soluzione?
> Per ora, interrompi il servizio Spooler

Grazie @_dimenticando_ & @edwardzpeng pic.twitter.com/bJ3dkxN1fW

— ???? Benjamin Delpy (@gentilkiwi) 30 Giugno 2021

Il principale fattore attenuante è che gli hacker hanno bisogno di alcune credenziali (anche con privilegi bassi) per la rete, ma per le reti aziendali, queste possono essere facilmente acquistate per circa $ 3.

Ciò significa che le reti aziendali sono ancora una volta estremamente vulnerabili agli attacchi (soprattutto ransomware), con i ricercatori di sicurezza che raccomandano alle aziende di disabilitare i propri spooler di stampa Windows.

Leggi di più sul problema su BleepingComputer qui.