Nova exploração de dia zero do Windows Server PrintNightmare pode ser o novo Hafnium
1 minutos. ler
Atualizado em
Leia nossa página de divulgação para descobrir como você pode ajudar o MSPoweruser a sustentar a equipe editorial Saiba mais
Uma nova exploração Zero-day sem correção acaba de ser lançada, juntamente com o código de Prova de Conceito, que concede aos invasores recursos completos de Execução Remota de Código em dispositivos Windows Print Spooler totalmente corrigidos.
O hack, chamado PrintNightmare, foi lançado acidentalmente pela empresa de segurança chinesa Sangfor, que o confundiu com uma exploração similar do Print Spooler que a Microsoft já corrigiu.
No entanto, o PrintNightmare é eficaz em máquinas Windows Server 2019 totalmente corrigidas e permite que o código do invasor seja executado com privilégios totais.
Porque eu sei que você adora bons vídeos com #mimikatz mas também #printnightmare (CVE-2021-1675?)
* Usuário padrão para SYSTEM no controlador de domínio remoto *Talvez a Microsoft possa explicar algumas coisas sobre sua correção?
> Por enquanto, pare o serviço SpoolerObrigado @_f0rgeting_ & @edwardzpeng pic.twitter.com/bJ3dkxN1fW
— ????? Benjamin Delpy (@gentilkiwi) 30 de Junho de 2021
O principal fator atenuante é que os hackers precisam de algumas credenciais (mesmo de baixo privilégio) para a rede, mas para redes corporativas, elas podem ser facilmente adquiridas por cerca de US$ 3.
Isso significa que as redes corporativas são novamente extremamente vulneráveis a ataques (especialmente ransomware), com pesquisadores de segurança recomendando que as empresas desativem seus spoolers de impressão do Windows.
Leia mais sobre o assunto em BleepingComputer aqui.