Новый взлом PrintNightmare означает, что любой пользователь может получить права администратора на своем ПК
2 минута. читать
Обновление
Прочтите нашу страницу раскрытия информации, чтобы узнать, как вы можете помочь MSPoweruser поддержать редакционную команду. Читать далее
Microsoft PrintNightmare отказывается заканчиваться, с другой версией взлома, означающей, что любой пользователь может получить права администратора на своем ПК, даже с ограниченной учетной записью.
Хак был разработан Бенджамин Делпи и использует тот факт, что Windows с удовольствием устанавливает драйверы с удаленных серверов печати и запускает эти драйверы с системным уровнем привилегий, и что даже пользователи с ограниченными правами могут устанавливать удаленные принтеры.
Хочу проверить #принткошмар (ep 4.x) пользователь-система как услуга??
(только POC, будет записывать файл журнала в system32)подключиться к \https://t.co/6Pk2UnOXaG
- пользователь: .gentilguest
- пароль: парольОткройте «Kiwi Legit Printer — x64», затем «Kiwi Legit Printer — x64 (еще один)». pic.twitter.com/zHX3aq9PpM
— ????? Бенджамин Дельпи (@gentilkiwi) Июль 17, 2021
Он установил удаленный сервер печати по адресу \\printnightmare[.]gentilkiwi[.]com который загружает взломанный драйвер, который открывает системную подсказку, что означает, что корпоративные пользователи или хакеры с ограниченным доступом к учетной записи теперь могут легко повысить привилегии и получить полный контроль над своим ПК.
BleepingComputer проверил взлом на полностью пропатченном ПК под управлением Windows 10 21H1, и, за исключением того, что Защитник Windows обнаружил вредоносный драйвер, эксплойт работал без сбоев, как и предполагалось.
Пока Microsoft не исправит проблему, устранение проблемы будет довольно сложным, начиная от отключения диспетчера очереди печати и в основном всей печати до создания пользовательского списка удаленных принтеров, которые пользователям разрешено устанавливать.
Узнайте больше о взломе и возможных мерах по его устранению на BleepingComputer здесь.