Microsofts Out-of-Band-fix for PrintNightmare er allerede forbigått av hackere
1 min. lese
Publisert på
Les vår avsløringsside for å finne ut hvordan du kan hjelpe MSPoweruser opprettholde redaksjonen Les mer
I går Microsoft ga ut en patch utenom bandet for PrintNightmare Zero-day utnyttelse som gir angripere fulle funksjoner for ekstern kjøring av kode på fullt patchede Windows Print Spooler-enheter.
Det viser seg imidlertid at lappen, som ble utgitt på rekordtid, kan være feil.
Microsoft fikset bare den eksterne kodeutnyttelsen, noe som betyr at feilen fortsatt kan brukes til opptrapping av lokale privilegier. I tillegg oppdaget hackere snart at feilen fremdeles kunne utnyttes til og med eksternt.
Ifølge Mimikatz-skaperen Benjamin Delpy kan oppdateringen forbigås for å oppnå ekstern kjøring av kode når Point and Print-policyen er aktivert.
Er det vanskelig å håndtere strenger og filnavn?
Ny funksjon i #mimikatz ? for å normalisere filnavn (omgå kontroller ved å bruke UNC i stedet for \ servershare-format)Så en RCE (og LPE) med #printnightmare på en fullt lappet server, med Point & Print aktivert
> https://t.co/Wzb5GAfWfd pic.twitter.com/HTDf004N7r
— ????? Benjamin Delpy (@gentilkiwi) Juli 7, 2021
Denne omkjøringen ble bekreftet av sikkerhetsforsker Will Dorman.
Bekreftet.
Hvis du har et system der PointAndPrint NoWarningNoElevationOnInstall = 1, er Microsofts oppdatering for #PrintNightmare CVE-2021-34527 gjør ingenting for å forhindre verken LPE eller RCE. https://t.co/RgIc1yrnhn pic.twitter.com/Ntxe9wpuke- Will Dormann (@wdormann) Juli 7, 2021
For tiden anbefaler sikkerhetsforskere at administratorer holder Print Spooler-tjenesten deaktivert til alle problemene er løst.
Les mye mer detalj på BleepingComputer her..