Correção fora de banda da Microsoft para PrintNightmare já contornada por hackers

Ontem A Microsoft lançou um patch fora da banda para o exploit PrintNightmare Zero-day que concede aos atacantes recursos completos de Execução Remota de Código em dispositivos Windows Print Spooler totalmente corrigidos.

Acontece, entretanto, que o patch, que foi lançado em tempo recorde, pode estar com defeito.

A Microsoft corrigiu apenas o exploit de código remoto, o que significa que a falha ainda poderia ser usada para escalonamento de privilégios locais. Além disso, os hackers logo descobriram que a falha ainda poderia ser explorada, mesmo remotamente.

De acordo com o criador do Mimikatz, Benjamin Delpy, o patch pode ser ignorado para atingir a Execução Remota de Código quando a política Apontar e Imprimir estiver habilitada.

Lidar com strings e nomes de arquivos é difícil?
Nova função em #mimikatz ? para normalizar os nomes dos arquivos (ignorando as verificações usando UNC em vez do formato \ serverhare)

Portanto, um RCE (e LPE) com #printnightmare em um servidor totalmente corrigido, com Point & Print habilitado

> https://t.co/Wzb5GAfWfd pic.twitter.com/HTDf004N7r

— ????? Benjamin Delpy (@gentilkiwi) 7 de julho de 2021

Este desvio foi confirmado pelo pesquisador de segurança Will Dorman.

Confirmado.
Se você tiver um sistema em que PointAndPrint NoWarningNoElevationOnInstall = 1, o patch da Microsoft para #PrintNightmare O CVE-2021-34527 não faz nada para impedir o LPE ou o RCE. https://t.co/RgIc1yrnhn pic.twitter.com/Ntxe9wpuke

- Will Dormann (@wdormann) 7 de julho de 2021

Atualmente, os pesquisadores de segurança aconselham que os administradores mantenham o serviço Print Spooler desativado até que todos os problemas sejam corrigidos.

Leia mais detalhes em BleepingComputer SUA PARTICIPAÇÃO FAZ A DIFERENÇA.