Nowy exploit Windows Server PrintNightmare Zero-day może być nowym Hafnium

Właśnie wydano nowy i niezałatany exploit Zero-day wraz z kodem Proof-of-Concept, który zapewnia atakującym pełne możliwości zdalnego wykonywania kodu na w pełni załatanych urządzeniach Windows Print Spooler.

Hakowanie o nazwie PrintNightmare zostało przypadkowo ujawnione przez chińską firmę Sangfor, która pomyliła go z podobnym exploitem Print Spooler, który Microsoft już załatał.

PrintNightmare jest jednak skuteczny na w pełni załatanych maszynach z systemem Windows Server 2019 i umożliwia uruchamianie kodu atakującego z pełnymi uprawnieniami.

Ponieważ wiem, że kochasz dobre filmy z #mimikatz ale również #drukujkoszmar (CVE-2021-1675?)
* Standardowy użytkownik do SYSTEMU na zdalnym kontrolerze domeny *

Może Microsoft może wyjaśnić kilka rzeczy na temat ich poprawki?
> Na razie zatrzymaj usługę buforowania

Dziękuję Ci @_f0getting_ & @edwardzpiek pic.twitter.com/bJ3dkxN1fW

— ????? Benjamin Delpy (@gentilkiwi) 30 czerwca 2021 r.

Głównym czynnikiem łagodzącym jest to, że hakerzy potrzebują pewnych danych uwierzytelniających (nawet o niskich uprawnieniach) do sieci, ale w przypadku sieci korporacyjnych można je łatwo kupić za około 3 USD.

Oznacza to, że sieci korporacyjne są ponownie bardzo podatne na ataki (zwłaszcza ransomware), a badacze bezpieczeństwa zalecają firmom wyłączenie buforów wydruku systemu Windows.

Przeczytaj więcej o problemie w BleepingComputer tutaj.