Хакери вже обійшли позасмугове виправлення PrintNightmare від Microsoft

вчора Microsoft випустила виправлення поза діапазоном за експлойт PrintNightmare Zero-day, який надає зловмисникам повні можливості віддаленого виконання коду на повністю виправлених пристроях диспетчера друку Windows.

Виявляється, однак, що патч, випущений у рекордно короткий термін, може бути недоліком.

Microsoft виправляла лише віддалений експлойт коду, що означає, що недолік все ще може бути використаний для посилення локальних привілеїв. Крім того, хакери незабаром виявили, що недолік все ще можна використати навіть віддалено.

За словами творця Mimikatz Бенджаміна Делпі, виправлення можна обійти, щоб досягти віддаленого виконання коду, коли ввімкнено політику Point and Print.

Dealing with strings & filenames is hard?
Нова функція в #мімікац ?для нормалізації назв файлів (обхід перевірок за допомогою UNC замість формату \servershare)

So a RCE (і LPE) with #друкований кошмар on a fully patched server, with Point & Print enabled

> https://t.co/Wzb5GAfWfd pic.twitter.com/HTDf004N7r

— ????? Бенджамін Дельпі (@gentilkiwi) Липень 7, 2021

Цей обхід підтвердив дослідник безпеки Уілл Дорман.

Підтверджено.
Якщо у вас є система, де PointAndPrint NoWarningNoElevationOnInstall = 1, то патч Microsoft для #ДрукКошмар CVE-2021-34527 не перешкоджає ні LPE, ні RCE. https://t.co/RgIc1yrnhn pic.twitter.com/Ntxe9wpuke

- Уілл Дорманн (@wdormann) Липень 7, 2021

В даний час дослідники безпеки радять адміністраторам відключити службу спулера друку, поки всі проблеми не будуть усунені.

Докладніше читайте на BleepingComputer тут.