Correção fora de banda da Microsoft para PrintNightmare já contornada por hackers
1 minutos. ler
Publicado em
Leia nossa página de divulgação para descobrir como você pode ajudar o MSPoweruser a sustentar a equipe editorial Saiba mais
Ontem A Microsoft lançou um patch fora da banda para o exploit PrintNightmare Zero-day que concede aos atacantes recursos completos de Execução Remota de Código em dispositivos Windows Print Spooler totalmente corrigidos.
Acontece, entretanto, que o patch, que foi lançado em tempo recorde, pode estar com defeito.
A Microsoft corrigiu apenas o exploit de código remoto, o que significa que a falha ainda poderia ser usada para escalonamento de privilégios locais. Além disso, os hackers logo descobriram que a falha ainda poderia ser explorada, mesmo remotamente.
De acordo com o criador do Mimikatz, Benjamin Delpy, o patch pode ser ignorado para atingir a Execução Remota de Código quando a política Apontar e Imprimir estiver habilitada.
Lidar com strings e nomes de arquivos é difícil?
Nova função em #mimikatz ? para normalizar os nomes dos arquivos (ignorando as verificações usando UNC em vez do formato \ serverhare)Portanto, um RCE (e LPE) com #printnightmare em um servidor totalmente corrigido, com Point & Print habilitado
> https://t.co/Wzb5GAfWfd pic.twitter.com/HTDf004N7r
— ????? Benjamin Delpy (@gentilkiwi) 7 de julho de 2021
Este desvio foi confirmado pelo pesquisador de segurança Will Dorman.
Confirmado.
Se você tiver um sistema em que PointAndPrint NoWarningNoElevationOnInstall = 1, o patch da Microsoft para #PrintNightmare O CVE-2021-34527 não faz nada para impedir o LPE ou o RCE. https://t.co/RgIc1yrnhn pic.twitter.com/Ntxe9wpuke- Will Dormann (@wdormann) 7 de julho de 2021
Atualmente, os pesquisadores de segurança aconselham que os administradores mantenham o serviço Print Spooler desativado até que todos os problemas sejam corrigidos.
Leia mais detalhes em BleepingComputer SUA PARTICIPAÇÃO FAZ A DIFERENÇA.