Nieuwe PrintNightmare-hack betekent dat elke gebruiker beheerdersrechten op zijn pc kan krijgen

Microsoft's PrintNightmare weigert te eindigen, met een andere versie van de hack, wat betekent dat elke gebruiker beheerdersrechten op zijn pc kan krijgen, zelfs vanaf een beperkt account.

De hack is ontwikkeld door  Benjamin Depy en profiteert van het feit dat Windows best graag stuurprogramma's van externe afdrukservers installeert en die stuurprogramma's op systeemprivilegeniveau uitvoert, en dat zelfs beperkte gebruikers externe printers kunnen installeren.

Wil je testen #printnachtmerrie (ep 4.x) gebruiker-naar-systeem als een service??
(Alleen POC, zal een logbestand naar system32 schrijven)

verbinden aan \https://t.co/6Pk2UnOXaG Met
– gebruiker: .gentilguest
– wachtwoord: wachtwoord

Open 'Kiwi Legit Printer – x64', dan 'Kiwi Legit Printer – x64 (een andere)' pic.twitter.com/zHX3aq9PpM

— ????? Benjamin Delpy (@gentilkiwi) 17 juli 2021

Hij heeft een externe printerserver opgezet op \\printnachtmerrie[.]gentilkiwi[.]com die een gehackt stuurprogramma downloadt dat een systeemprompt opent, wat betekent dat zakelijke gebruikers of hackers met toegang tot een beperkt account nu gemakkelijk privileges kunnen verhogen en volledige controle over hun pc kunnen krijgen.

Vind meer info.

BleepingComputer testte de hack op een volledig gepatchte pc met Windows 10 21H1 en met uitzondering van de kwaadaardige driver die werd gedetecteerd door Windows Defender, werkte de exploit soepel zoals bedoeld.

Totdat Microsoft het probleem oplost, is het beperken van het probleem nogal moeilijk, variërend van het uitschakelen van de Print Spooler en eigenlijk al het afdrukken tot het maken van een aangepaste lijst met externe printers die gebruikers mogen installeren.

Lees meer over de hack en mogelijke mitigatie op BleepingComputer hier.