Soluția Microsoft Out-of-Band pentru PrintNightmare a fost deja ocolită de hackeri
1 min. citit
Publicat în data de
Citiți pagina noastră de dezvăluire pentru a afla cum puteți ajuta MSPoweruser să susțină echipa editorială Află mai multe
Ieri Microsoft a lansat un patch în afara benzii pentru exploatarea PrintNightmare Zero-day care acordă atacatorilor capabilități complete de execuție a codului de la distanță pe dispozitivele Windows Print Spooler complet corelate.
Se pare însă că patch-ul, care a fost lansat într-un timp record, poate fi defect.
Microsoft a remediat doar exploatarea codului de la distanță, ceea ce înseamnă că defectul ar putea fi încă folosit pentru escaladarea privilegiilor locale. În plus, hackerii au descoperit curând că defectul poate fi exploatat chiar și de la distanță.
Potrivit creatorului Mimikatz, Benjamin Delpy, patch-ul ar putea fi ocolit pentru a realiza Executarea codului la distanță atunci când politica Point and Print este activată.
Este greu să te ocupi de șiruri și nume de fișiere?
Funcție nouă în #mimikatz ? pentru a normaliza numele fișierelor (ocolind verificările utilizând UNC în loc de formatul \ servershare)Deci un RCE (și LPE) cu #printcosmar pe un server complet corelat, cu Point & Print activat
> https://t.co/Wzb5GAfWfd pic.twitter.com/HTDf004N7r
— ?????? Benjamin Delpy (@gentilkiwi) Iulie 7, 2021
Această ocolire a fost confirmată de cercetătorul de securitate Will Dorman.
Confirmat.
Dacă aveți un sistem în care PointAndPrint NoWarningNoElevationOnInstall = 1, atunci patch-ul Microsoft pentru #Print Nightmare CVE-2021-34527 nu face nimic pentru a împiedica nici LPE, nici RCE. https://t.co/RgIc1yrnhn pic.twitter.com/Ntxe9wpuke- Will Dormann (@wdormann) Iulie 7, 2021
În prezent, cercetătorii în materie de securitate recomandă administratorilor să păstreze serviciul Print Spooler dezactivat până când toate problemele sunt remediate.
Citiți mai multe detalii la BleepingComputer aici.