Poprawka Microsoftu Out-of-Band dla PrintNightmare została już ominięta przez hakerów

Wczoraj Microsoft wydał łatkę poza pasmem za exploita PrintNightmare Zero-day, który zapewnia atakującym pełne możliwości zdalnego wykonywania kodu na w pełni załatanych urządzeniach Windows Print Spooler.

Okazuje się jednak, że łatka, która została wydana w rekordowym czasie, może być błędna.

Microsoft naprawił jedynie exploita zdalnego kodu, co oznacza, że ​​luka nadal może być wykorzystywana do lokalnego eskalacji uprawnień. Ponadto hakerzy wkrótce odkryli, że lukę można wykorzystać nawet zdalnie.

Według twórcy Mimikatz, Benjamina Delpy, poprawkę można ominąć, aby uzyskać zdalne wykonanie kodu, gdy włączone są zasady Wskaż i drukuj.

Radzenie sobie z ciągami i nazwami plików jest trudne?
Nowa funkcja w #mimikatz ? do normalizacji nazw plików (pomijanie sprawdzania przy użyciu formatu UNC zamiast \ servershare)

Więc RCE (i LPE) z #drukujkoszmar na w pełni zaktualizowanym serwerze z włączoną opcją Point & Print

> https://t.co/Wzb5GAfWfd pic.twitter.com/HTDf004N7r

— ????? Benjamin Delpy (@gentilkiwi) 7 lipca 2021 r.

To obejście zostało potwierdzone przez badacza bezpieczeństwa Willa Dormana.

Potwierdzone
Jeśli masz system, w którym PointAndPrint NoWarningNoElevationOnInstall = 1, to poprawka firmy Microsoft dla #WydrukujKoszmar CVE-2021-34527 nie robi nic, aby zapobiec LPE lub RCE. https://t.co/RgIc1yrnhn pic.twitter.com/Ntxe9wpuke

- Will Dormann (@wdormann) 7 lipca 2021 r.

Obecnie analitycy bezpieczeństwa zalecają, aby administratorzy wyłączyli usługę Bufor wydruku, dopóki wszystkie problemy nie zostaną naprawione.

Przeczytaj więcej szczegółów na BleepingComputer tutaj.