תיקון Out-of-Band של מיקרוסופט עבור PrintNightmare כבר עקף על ידי האקרים
1 דקות לקרוא
פורסם ב
קרא את דף הגילויים שלנו כדי לגלות כיצד תוכל לעזור ל-MSPoweruser לקיים את צוות העריכה קרא עוד
אתמול מיקרוסופט פרסמה תיקון מחוץ להקה לניצול PrintNightmare Zero-day המעניק תוקפים יכולות מלאות של ביצוע קוד מרחוק בהתקני Windows Print Spooler עם תיקון מלא.
עם זאת מתברר כי התיקון, אשר שוחרר בזמן שיא, עלול להיות פגום.
מיקרוסופט תיקנה רק את ניצול הקוד מרחוק, כלומר עדיין ניתן להשתמש בפגם להסלמת הרשאות מקומיות. בנוסף האקרים גילו עד מהרה שניתן עדיין לנצל את הפגם אפילו מרחוק.
לדברי יוצר Mimikatz בנימין דלפי, ניתן לעקוף את התיקון כדי להשיג ביצוע קוד מרחוק כאשר מדיניות הצבע והדפסה מופעלת.
קשה להתמודד עם מחרוזות ושמות קבצים?
פונקציה חדשה ב- #מימיקץ ? כדי לנרמל שמות קבצים (עקיפת בדיקות באמצעות UNC במקום בפורמט \ servershare)אז RCE (ו- LPE) עם #סיוט הדפסה בשרת מתוקן במלואו, כאשר Point & Print מופעל
> https://t.co/Wzb5GAfWfd pic.twitter.com/HTDf004N7r
— ????? בנג'מין דלפי (@gentilkiwi) 7 ביולי 2021
מעקף זה אושר על ידי חוקר האבטחה ויל דורמן.
מְאוּשָׁר.
אם יש לך מערכת שבה PointAndPrint NoWarningNoElevationOnInstall = 1, אז התיקון של Microsoft עבור #PrintNightmare CVE-2021-34527 לא עושה דבר כדי למנוע לא LPE או RCE. https://t.co/RgIc1yrnhn pic.twitter.com/Ntxe9wpuke- וויל דורמן (@wdormann) 7 ביולי 2021
נכון לעכשיו, חוקרי אבטחה מייעצים למנהלי מערכת להשאיר את השירות Print Spooler מושבת עד שכל הבעיות נפתרות.
קרא פרטים רבים יותר ב- BleepingComputer כאן.