PrintNightmare: In una dichiarazione Microsoft nega che il bypass delle patch sia una vera minaccia
2 minuto. leggere
Edizione del
Leggi la nostra pagina informativa per scoprire come puoi aiutare MSPoweruser a sostenere il team editoriale Per saperne di più
Due giorni fa Microsoft ha rilasciato una patch fuori banda per l'exploit PrintNightmare Zero-day che concede agli aggressori funzionalità complete di esecuzione di codice in remoto su dispositivi spooler di stampa Windows completamente patchati, e il giorno dopo diversi hacker hanno dimostrato che la patch poteva essere facilmente aggirata.
Gestire stringhe e nomi di file è difficile?
Nuova funzione in #mimikatz ?per normalizzare i nomi dei file (ignorando i controlli utilizzando UNC invece del formato \servershare)Quindi un RCE (e LPE) con #stampaincubo su un server completamente patchato, con Point & Print abilitato
> https://t.co/Wzb5GAfWfd pic.twitter.com/HTDf004N7r
— ???? Benjamin Delpy (@gentilkiwi) Luglio 7, 2021
Confermato.
Se hai un sistema in cui PointAndPrint NoWarningNoElevationOnInstall = 1, allora la patch di Microsoft per #StampaIncubo CVE-2021-34527 non impedisce né LPE né RCE. https://t.co/RgIc1yrnhn pic.twitter.com/Ntxe9wpuke- Will Dormann (@wdormann) Luglio 7, 2021
Microsoft ha ora rilasciato una dichiarazione a BleepingComputer negando che il bypass rappresentasse una minaccia realistica, dicendo:
"Siamo a conoscenza di reclami e stiamo indagando, ma al momento non siamo a conoscenza di alcun bypass", continua "Abbiamo riscontrato reclami di bypass in cui un amministratore ha modificato le impostazioni del registro di sistema predefinite in una configurazione non sicura. Vedere la guida CVE-2021-34527 per ulteriori informazioni sulle impostazioni necessarie per proteggere il sistema. "
Presumibilmente Microsoft significa consentire l'installazione dei driver senza preavviso, con la società che insiste sul fatto che la configurazione predefinita è sicura.
Microsoft dice che dopo aver applicato la patch, assicurati che i seguenti valori di registro (se esistono) siano impostati su zero:
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
- NoWarningNoElevationOnInstall = 0 (DWORD) o non definito (impostazione predefinita)
- UpdatePromptSettings = 0 (DWORD) o non definito (impostazione predefinita)
Ciò che è chiaro è che hai bisogno di più della patch per essere veramente sicuro. Leggi la guida completa alla configurazione di Microsoft qui.