Novo hack do PrintNightmare significa que qualquer usuário pode obter privilégios de administrador em seu PC

O PrintNightmare da Microsoft se recusa a terminar, com outra versão do hack significando que qualquer usuário pode obter privilégios de administrador em seu PC, mesmo com uma conta limitada.

O hack foi desenvolvido por  Benjamim Delpy e aproveita o fato de que o Windows fica muito feliz em instalar drivers de servidores de impressão remotos e executá-los no nível de privilégio do sistema, e até mesmo usuários limitados podem instalar impressoras remotas.

Quer testar #printnightmare (ep 4.x) usuário para sistema como serviço??
(Somente POC, gravará um arquivo de log no system32)

conectar a \https://t.co/6Pk2UnOXaG de
– usuário: .gentilguest
– senha: senha

Abra 'Kiwi Legit Printer – x64' e depois 'Kiwi Legit Printer – x64 (outro)' pic.twitter.com/zHX3aq9PpM

— ????? Benjamin Delpy (@gentilkiwi) 17 de julho de 2021

Ele configurou um servidor de impressão remoto em \\printnightmare[.]gentilkiwi[.]com que baixa um driver hackeado que abre um prompt do sistema, o que significa que usuários corporativos ou hackers com acesso a uma conta limitada agora podem facilmente elevar privilégios e obter controle total de seu PC.

Encontre mais informações.

BleepingComputer testou o hack em um PC totalmente corrigido executando o Windows 10 21H1 e, exceto pelo driver malicioso detectado pelo Windows Defender, a exploração funcionou perfeitamente conforme o esperado.

Até que a Microsoft resolva o problema, a mitigação é bastante difícil, desde a desativação do Spooler de impressão e basicamente de todas as impressões até a criação de uma lista personalizada de impressoras remotas que os usuários têm permissão para instalar.

Leia mais sobre o hack e possível mitigação em BleepingComputador aqui.