PrintNightmare: Microsoft v izjavi zanika, da je obvod popravkov resnična grožnja
2 min. prebrati
Objavljeno dne
Dajte v skupno rabo ta članek
Izboljšajte ta vodnik
Preberite našo stran za razkritje, če želite izvedeti, kako lahko pomagate MSPoweruser vzdrževati uredniško skupino Preberi več
Dva dni nazaj Microsoft je izdal popravek zunaj pasu za izkoriščanje PrintNightmare Zero-day, ki omogoča napadalcem polne zmogljivosti oddaljenega izvajanja kode na popolnoma zakrpanih napravah Windows Print Spooler, dan pozneje je več hekerjev pokazalo, da je popravek mogoče zlahka zaobiti.
Je ravnanje z nizi in imeni datotek težko?
Nova funkcija v #mimikatz ? za normalizacijo imen datotek (obhod preverjanj z uporabo UNC namesto formata \ servershare)Torej RCE (in LPE) z #natisninočno moro na popolnoma zakrpanem strežniku z omogočenim Point & Print
> https://t.co/Wzb5GAfWfd pic.twitter.com/HTDf004N7r
— ????? Benjamin Delpy (@gentilkiwi) Julij 7, 2021
Potrjeno.
Če imate sistem, kjer je PointAndPrint NoWarningNoElevationOnInstall = 1, potem je Microsoftov popravek za #Natisni nočna mora CVE-2021-34527 ne prepreči nič LPE ali RCE. https://t.co/RgIc1yrnhn pic.twitter.com/Ntxe9wpuke- Will Dormann (@wdormann) Julij 7, 2021
Microsoft je zdaj izdal izjavo za BleepingComputer zanikal, da je obvoz predstavljal realno grožnjo, in dejal:
»Zavedamo se zahtevkov in preiskujemo, vendar trenutno ne poznamo nobenih obvozov,« nadaljuje »Videli smo trditve o obhodu, kjer je skrbnik spremenil privzete nastavitve registra v nezaščiteno konfiguracijo. Za več informacij o nastavitvah, potrebnih za zaščito vašega sistema, glejte navodila CVE-2021-34527. ”
Microsoft verjetno pomeni omogočanje namestitve gonilnikov brez opozorila, pri čemer podjetje vztraja, da je privzeta konfiguracija varna.
Microsoft pravi, da po uporabi popravka zagotovite, da so naslednje vrednosti registra (če obstajajo) nastavljene na nič:
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
- NoWarningNoElevationOnInstall = 0 (DWORD) ali ni določeno (privzeta nastavitev)
- UpdatePromptSettings = 0 (DWORD) ali ni opredeljen (privzeta nastavitev)
Jasno je, da potrebujete več kot obliž, da ste resnično varni. Preberite celotna Microsoftova navodila za konfiguracijo tukaj.
