การแก้ไข Out-of-Band ของ Microsoft สำหรับ PrintNightmare ผ่านไปแล้วโดยแฮกเกอร์
1 นาที. อ่าน
เผยแพร่เมื่อ
แชร์บทความนี้
ปรับปรุงคู่มือนี้
อ่านหน้าการเปิดเผยข้อมูลของเราเพื่อดูว่าคุณจะช่วย MSPoweruser รักษาทีมบรรณาธิการได้อย่างไร อ่านเพิ่มเติม
เมื่อวาน Microsoft เปิดตัวแพตช์นอกแบนด์ สำหรับการใช้ประโยชน์ PrintNightmare Zero-day ที่ให้ผู้โจมตี ความสามารถในการดำเนินการโค้ดจากระยะไกลเต็มรูปแบบบนอุปกรณ์ Windows Print Spooler ที่แพตช์อย่างสมบูรณ์
อย่างไรก็ตาม ปรากฎว่าแพตช์ซึ่งเปิดตัวในช่วงเวลาที่บันทึกอาจมีข้อบกพร่อง
Microsoft ได้แก้ไขเฉพาะการใช้ประโยชน์จากโค้ดจากระยะไกลเท่านั้น ซึ่งหมายความว่าข้อบกพร่องดังกล่าวยังสามารถใช้เพื่อยกระดับสิทธิ์ในเครื่องได้ นอกจากนี้ ในไม่ช้าแฮ็กเกอร์ก็ค้นพบว่าข้อบกพร่องดังกล่าวยังสามารถใช้ประโยชน์ได้จากระยะไกล
Benjamin Delpy ผู้สร้าง Mimikatz กล่าวว่าแพตช์นี้สามารถข้ามได้เพื่อให้เกิด Remote Code Execution เมื่อเปิดใช้งานนโยบาย Point and Print
การจัดการกับสตริงและชื่อไฟล์นั้นยากไหม
ฟังก์ชั่นใหม่ใน #มิมิคัตสึ ?เพื่อทำให้ชื่อไฟล์เป็นปกติ (ข้ามการตรวจสอบโดยใช้ UNC แทน \servershare format)ดังนั้น RCE (และ LPE) ด้วย #พิมพ์ฝันร้าย บนเซิร์ฟเวอร์ที่มีการแพตช์อย่างสมบูรณ์ โดยเปิดใช้งาน Point & Print
> https://t.co/Wzb5GAfWfd pic.twitter.com/HTDf004N7r
— ????? เบนจามิน เดลพี (@gentilkiwi) กรกฎาคม 7, 2021
บายพาสนี้ได้รับการยืนยันโดย Will Dorman นักวิจัยด้านความปลอดภัย
ยืนยันแล้ว
หากคุณมีระบบที่ PointAndPrint NoWarningNoElevationOnInstall = 1 แสดงว่าโปรแกรมแก้ไขของ Microsoft สำหรับ #พิมพ์ฝันร้าย CVE-2021-34527 ไม่ได้ดำเนินการใดๆ เพื่อป้องกัน LPE หรือ RCE https://t.co/RgIc1yrnhn pic.twitter.com/Ntxe9wpuke- Will Dormann (@wdormann) กรกฎาคม 7, 2021
ปัจจุบัน นักวิจัยด้านความปลอดภัยแนะนำให้ผู้ดูแลระบบปิดบริการ Print Spooler ไว้จนกว่าปัญหาทั้งหมดจะได้รับการแก้ไข
อ่านรายละเอียดเพิ่มเติมได้ที่ BleepingComputer โปรดคลิกที่นี่เพื่ออ่านรายละเอียดเพิ่มเติม.
