Microsoftov izvenpasovni popravek za PrintNightmare so hekerji že obšli
1 min. prebrati
Objavljeno dne
Preberite našo stran za razkritje, če želite izvedeti, kako lahko pomagate MSPoweruser vzdrževati uredniško skupino Preberi več
včeraj Microsoft je izdal popravek zunaj pasu za izkoriščanje PrintNightmare Zero-day, ki omogoča napadalcem polne zmogljivosti oddaljenega izvajanja kode na popolnoma popravljenih napravah Windows Print Spooler.
Izkazalo pa se je, da je popravek, ki je bil izdan v rekordnem času, pomanjkljiv.
Microsoft je odpravil samo oddaljeno izkoriščanje kode, kar pomeni, da je napako še vedno mogoče uporabiti za povečanje lokalnih privilegijev. Poleg tega so hekerji kmalu ugotovili, da je napako še vedno mogoče izkoristiti tudi na daljavo.
Po besedah ustvarjalca Mimikatza Benjamina Delpyja bi lahko popravek zaobšli, da bi dosegli oddaljeno izvajanje kode, ko je omogočena politika Point and Print.
Je ravnanje z nizi in imeni datotek težko?
Nova funkcija v #mimikatz ? za normalizacijo imen datotek (obhod preverjanj z uporabo UNC namesto formata \ servershare)Torej RCE (in LPE) z #natisninočno moro na popolnoma zakrpanem strežniku z omogočenim Point & Print
> https://t.co/Wzb5GAfWfd pic.twitter.com/HTDf004N7r
— ????? Benjamin Delpy (@gentilkiwi) Julij 7, 2021
To obvoznico je potrdil varnostni raziskovalec Will Dorman.
Potrjeno.
Če imate sistem, kjer je PointAndPrint NoWarningNoElevationOnInstall = 1, potem je Microsoftov popravek za #Natisni nočna mora CVE-2021-34527 ne prepreči nič LPE ali RCE. https://t.co/RgIc1yrnhn pic.twitter.com/Ntxe9wpuke- Will Dormann (@wdormann) Julij 7, 2021
Trenutno raziskovalci na področju varnosti svetujejo, da skrbniki onemogočijo storitev Print Spooler, dokler niso odpravljene vse težave.
Preberite veliko več na BleepingComputer tukaj.