Nova exploração de dia zero do Windows Server PrintNightmare pode ser o novo Hafnium

Uma nova exploração Zero-day sem correção acaba de ser lançada, juntamente com o código de Prova de Conceito, que concede aos invasores recursos completos de Execução Remota de Código em dispositivos Windows Print Spooler totalmente corrigidos.

O hack, chamado PrintNightmare, foi lançado acidentalmente pela empresa de segurança chinesa Sangfor, que o confundiu com uma exploração similar do Print Spooler que a Microsoft já corrigiu.

No entanto, o PrintNightmare é eficaz em máquinas Windows Server 2019 totalmente corrigidas e permite que o código do invasor seja executado com privilégios totais.

Porque eu sei que você adora bons vídeos com #mimikatz mas também #printnightmare (CVE-2021-1675?)
* Usuário padrão para SYSTEM no controlador de domínio remoto *

Talvez a Microsoft possa explicar algumas coisas sobre sua correção?
> Por enquanto, pare o serviço Spooler

Obrigado @_f0rgeting_ & @edwardzpeng pic.twitter.com/bJ3dkxN1fW

— ????? Benjamin Delpy (@gentilkiwi) 30 de Junho de 2021

O principal fator atenuante é que os hackers precisam de algumas credenciais (mesmo de baixo privilégio) para a rede, mas para redes corporativas, elas podem ser facilmente adquiridas por cerca de US$ 3.

Isso significa que as redes corporativas são novamente extremamente vulneráveis ​​a ataques (especialmente ransomware), com pesquisadores de segurança recomendando que as empresas desativem seus spoolers de impressão do Windows.

Leia mais sobre o assunto em BleepingComputer aqui.