PrintNightmare: In una dichiarazione Microsoft nega che il bypass delle patch sia una vera minaccia

Icona del tempo di lettura 2 minuto. leggere

Icona del calendario Edizione del Luglio 8, 2021

pubblicato su Luglio 8, 2021

I lettori aiutano a supportare MSpoweruser. Potremmo ricevere una commissione se acquisti tramite i nostri link.

Due giorni fa Microsoft ha rilasciato una patch fuori banda per l'exploit PrintNightmare Zero-day che concede agli aggressori funzionalità complete di esecuzione di codice in remoto su dispositivi spooler di stampa Windows completamente patchati, e il giorno dopo diversi hacker hanno dimostrato che la patch poteva essere facilmente aggirata.

Gestire stringhe e nomi di file è difficile?
Nuova funzione in #mimikatz ?per normalizzare i nomi dei file (ignorando i controlli utilizzando UNC invece del formato \servershare)

Quindi un RCE (e LPE) con #stampaincubo su un server completamente patchato, con Point & Print abilitato

> https://t.co/Wzb5GAfWfd pic.twitter.com/HTDf004N7r

— ???? Benjamin Delpy (@gentilkiwi) Luglio 7, 2021

Confermato.
Se hai un sistema in cui PointAndPrint NoWarningNoElevationOnInstall = 1, allora la patch di Microsoft per #StampaIncubo CVE-2021-34527 non impedisce né LPE né RCE. https://t.co/RgIc1yrnhn pic.twitter.com/Ntxe9wpuke

- Will Dormann (@wdormann) Luglio 7, 2021

Microsoft ha ora rilasciato una dichiarazione a BleepingComputer negando che il bypass rappresentasse una minaccia realistica, dicendo:

"Siamo a conoscenza di reclami e stiamo indagando, ma al momento non siamo a conoscenza di alcun bypass", continua "Abbiamo riscontrato reclami di bypass in cui un amministratore ha modificato le impostazioni del registro di sistema predefinite in una configurazione non sicura. Vedere la guida CVE-2021-34527 per ulteriori informazioni sulle impostazioni necessarie per proteggere il sistema. "

Presumibilmente Microsoft significa consentire l'installazione dei driver senza preavviso, con la società che insiste sul fatto che la configurazione predefinita è sicura.

Microsoft dice che dopo aver applicato la patch, assicurati che i seguenti valori di registro (se esistono) siano impostati su zero:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
NoWarningNoElevationOnInstall = 0 (DWORD) o non definito (impostazione predefinita)
UpdatePromptSettings = 0 (DWORD) o non definito (impostazione predefinita)

Ciò che è chiaro è che hai bisogno di più della patch per essere veramente sicuro. Leggi la guida completa alla configurazione di Microsoft qui.

Maggiori informazioni sugli argomenti: StampaIncubo, problemi di

Surur Davids

Esperto di smartphone

Surur Davids è il fondatore di WMPoweruser che in seguito divenne MSPoweruser.com. È un esperto di smartphone con oltre un decennio di esperienza.