Opravu Out-of-Band od Microsoftu pre PrintNightmare už hackeri obišli

Včera Spoločnosť Microsoft vydala opravu mimo pásma za nulový denný nátlak PrintNightmare, ktorý udeľuje útočníkom plné možnosti vzdialeného spúšťania kódu na plne opravených zariadeniach Windows Print Spooler.

Ukazuje sa však, že oprava, ktorá bola vydaná v rekordnom čase, môže byť chybná.

Spoločnosť Microsoft opravila iba zneužitie vzdialeného kódu, čo znamená, že chybu je stále možné použiť na zvýšenie miestnych oprávnení. Hackeri navyše čoskoro zistili, že chybu je stále možné zneužiť dokonca aj na diaľku.

Podľa tvorcu Mimikatzu Benjamina Delpyho by bolo možné opravu obísť, aby sa dosiahlo vzdialené spustenie kódu, ak je povolená zásada Ukáž a tlač.

Je ťažké pracovať s reťazcami a názvami súborov?
Nová funkcia v #imikatz ? na normalizáciu názvov súborov (vynechanie kontrol použitím UNC namiesto formátu \ servershare)

Takže RCE (a LPE) s #printnočná mora na serveri s úplnou záplatou, s povolenou funkciou Point & Print

> https://t.co/Wzb5GAfWfd pic.twitter.com/HTDf004N7r

— ????? Benjamin Delpy (@gentilkiwi) Júla 7, 2021

Tento obchvat potvrdil bezpečnostný výskumník Will Dorman.

Potvrdené.
Ak máte systém, kde PointAndPrint NoWarningNoElevationOnInstall = 1, potom oprava spoločnosti Microsoft pre #PrintNightmare CVE-2021-34527 nerobí nič, aby zabránil LPE ani RCE. https://t.co/RgIc1yrnhn pic.twitter.com/Ntxe9wpuke

- Will Dormann (@wdormann) Júla 7, 2021

Výskumníci v oblasti bezpečnosti v súčasnej dobe radia, aby správcovia nechali službu Spooler Print deaktivovanú, kým sa nevyriešia všetky problémy.

Prečítajte si oveľa viac podrobností na BleepingComputer tu.