MicrosoftのPrintNightmareに対するアウトオブバンド修正はすでにハッカーによってバイパスされている
1分。 読んだ
上で公開
MSPoweruser の編集チームの維持にどのように貢献できるかについては、開示ページをお読みください。 続きを読む
昨日 マイクロソフトは帯域外パッチをリリースしました 攻撃者に許可を与えるPrintNightmareゼロデイエクスプロイトの場合 完全にパッチが適用されたWindowsPrintSpoolerデバイスでの完全なリモートコード実行機能。
しかし、記録的な速さでリリースされたパッチに欠陥がある可能性があることが判明しました。
Microsoftは、リモートコードの悪用のみを修正しました。つまり、この欠陥は引き続きローカル権限昇格に使用される可能性があります。 さらに、ハッカーはすぐに、この欠陥がリモートでも悪用される可能性があることを発見しました。
Mimikatzの作成者であるBenjaminDelpyによると、ポイントアンドプリントポリシーが有効になっている場合、パッチをバイパスしてリモートでコードが実行される可能性があります。
文字列とファイル名の処理は難しいですか?
の新機能 #ミミカッツ ?ファイル名を正規化する(\ servershare形式の代わりにUNCを使用してチェックをバイパスする)したがって、RCE(およびLPE)と #印刷悪夢 ポイント&プリントが有効になっている、完全にパッチが適用されたサーバー上
> https://t.co/Wzb5GAfWfd pic.twitter.com/HTDf004N7r
— ????? ベンジャミン・デルピー (@gentilkiwi) 2022年7月11日
このバイパスは、セキュリティ研究者のWillDormanによって確認されました。
確認済み。
PointAndPrint NoWarningNoElevationOnInstall = 1のシステムを使用している場合は、Microsoftのパッチ #プリントナイトメア CVE-2021-34527は、LPEまたはRCEのいずれかを防ぐために何もしません。 https://t.co/RgIc1yrnhn pic.twitter.com/Ntxe9wpuke— Will Dormann(@wdormann) 2022年7月11日
現在、セキュリティ研究者は、すべての問題が修正されるまで、管理者がPrintSpoolerサービスを無効にしておくことを推奨しています。
BleepingComputerで詳細を読む こちら.