Microsofts Out-of-Band-fix för PrintNightmare har redan förbigåtts av hackare
1 min. läsa
Publicerad den
Dela den här artikeln
Förbättra den här guiden
Läs vår informationssida för att ta reda på hur du kan hjälpa MSPoweruser upprätthålla redaktionen Läs mer
I går Microsoft släppte en out-of-band-patch för PrintNightmare Zero-day exploit som ger angripare fullständiga funktioner för fjärrkörning av kod på helt korrigerade Windows Print Spooler-enheter.
Det visar sig dock att plåstret, som släpptes på rekordtid, kan vara bristfälligt.
Microsoft fixade bara fjärrkodutnyttjandet, vilket innebär att felet fortfarande kan användas för eskalering av lokala privilegier. Dessutom upptäckte hackare snart att felet fortfarande kan utnyttjas även på distans.
Enligt Mimikatz -skaparen Benjamin Delpy kan korrigeringen kringgås för att uppnå fjärrkodskörning när pek- och utskriftspolicyn är aktiverad.
Är det svårt att hantera strängar och filnamn?
Ny funktion i #mimikatz ?för att normalisera filnamn (förbikoppla kontroller genom att använda UNC istället för \servershare-format)Så en RCE (och LPE) med #printnightmare på en helt korrigerad server, med Point & Print aktiverat
> https://t.co/Wzb5GAfWfd pic.twitter.com/HTDf004N7r
— ????? Benjamin Delpy (@gentilkiwi) Juli 7, 2021
Denna förbikoppling bekräftades av säkerhetsforskaren Will Dorman.
Bekräftad.
Om du har ett system där PointAndPrint NoWarningNoElevationOnInstall = 1, då Microsofts patch för #PrintNightmare CVE-2021-34527 gör inget för att förhindra vare sig LPE eller RCE. https://t.co/RgIc1yrnhn pic.twitter.com/Ntxe9wpuke- Will Dormann (@wdormann) Juli 7, 2021
För närvarande rekommenderar säkerhetsforskare att administratörer håller Print Spooler -tjänsten inaktiverad tills alla problem är åtgärdade.
Läs mycket mer detaljer på BleepingComputer här..
