Внешнее исправление Microsoft для PrintNightmare уже обошло хакеры

Вчера Microsoft выпустила внеполосный патч для эксплойта нулевого дня PrintNightmare, который предоставляет злоумышленникам полные возможности удаленного выполнения кода на полностью исправленных устройствах Windows Print Spooler.

Однако оказалось, что патч, выпущенный в рекордно короткие сроки, может иметь изъяны.

Microsoft исправила только эксплойт удаленного кода, а это значит, что этот недостаток все еще можно было использовать для повышения локальных привилегий. Вдобавок хакеры вскоре обнаружили, что уязвимость все еще можно использовать даже удаленно.

По словам создателя Mimikatz Бенджамина Делпи, патч можно было бы обойти, чтобы добиться удаленного выполнения кода, если включена политика указания и печати.

Трудно работать со строками и именами файлов?
Новая функция в #мимикац ?для нормализации имен файлов (обход проверок путем использования UNC вместо формата \serversshare)

Таким образом, RCE (и LPE) с #принткошмар на полностью исправленном сервере с включенной функцией Point & Print

> https://t.co/Wzb5GAfWfd pic.twitter.com/HTDf004N7r

— ????? Бенджамин Дельпи (@gentilkiwi) Июль 7, 2021

Этот обход был подтвержден исследователем безопасности Уиллом Дорманом.

Подтверждено.
Если у вас есть система, в которой PointAndPrint NoWarningNoElevationOnInstall = 1, то патч Microsoft для #ПечатьКошмар CVE-2021-34527 не предотвращает ни LPE, ни RCE. https://t.co/RgIc1yrnhn pic.twitter.com/Ntxe9wpuke

- Уилл Дорманн (@wdormann) Июль 7, 2021

В настоящее время исследователи безопасности советуют администраторам отключать службу диспетчера очереди печати до тех пор, пока все проблемы не будут устранены.

Подробности читайте на сайте BleepingComputer. здесь.