Til tross for andre patch, er PrintNightmare tilbake igjen

Microsoft har håndtert en sårbarhet der hackere kan ta over PC-er ved å installere kompromitterte skriverdrivere i nesten en måned nå, men det ser ut til at problemet er mer komplekst og dypere enn til og med Microsoft forventet.

Til trossen nylig oppdatering som endret standardinnstillingene på Windows 10 og forhindret standardbrukere fra å installere skriverdrivere, har hackere funnet en bypass som fortsatt tillot en rettighetseskalering for standardbrukere.

Benjamin Delpy har vist at hackere raskt kan få SYSTEM-privilegier ganske enkelt ved å koble til en ekstern utskriftsserver, ved å bruke CopyFile-registerdirektivet for å kopiere en DLL-fil som åpner en ledetekst til klienten sammen med en skriverdriver når du kobler til en skriver .

Microsoft har erkjent problemet i rådgivende CVE-2021-36958, sier:

Det eksisterer et sikkerhetsproblem med ekstern kjøring av kode når Windows Print Spooler-tjenesten utfører privilegerte filoperasjoner på feil måte. En angriper som lykkes med å utnytte dette sikkerhetsproblemet, kan kjøre vilkårlig kode med SYSTEM-rettigheter. En angriper kan da installere programmer; vise, endre eller slette data; eller opprette nye kontoer med fulle brukerrettigheter.

Løsningen for dette sikkerhetsproblemet stopper og deaktiverer Print Spooler-tjenesten.

Mens Microsoft kaller det en sårbarhet for ekstern kjøring av kode, ser utnyttelsen ut til å være en Local Privilege Escalation-feil, som i det minste bør gi en viss trygghet for nettverksadministratorer.

Microsoft anbefaler nok en gang at administratorer deaktiverer Print Spooler og dermed deaktiverer utskrift fra Windows. En annen løsning, som ikke anbefales av Microsoft, er å begrense skriverne du kan koble til til en bestemt liste ved å bruke gruppepolicyen "Pakkepunkt og utskrift – Godkjente servere". Les hvordan du gjør det på BleepingComputer her.