Bản hack PrintNightmare mới có nghĩa là bất kỳ người dùng nào cũng có thể đạt được đặc quyền quản trị trên PC của họ

PrintNightmare của Microsoft từ chối kết thúc, với một phiên bản khác của cuộc tấn công có nghĩa là bất kỳ người dùng nào cũng có thể giành được đặc quyền quản trị trên PC của họ, ngay cả từ một tài khoản giới hạn.

Bản hack được phát triển bởi  Benjamin Delpy và tận dụng lợi thế của thực tế là Windows khá vui khi cài đặt trình điều khiển từ máy chủ in từ xa và chạy các trình điều khiển đó ở cấp đặc quyền Hệ thống và ngay cả Người dùng bị hạn chế cũng có thể cài đặt máy in từ xa.

Muốn kiểm tra #printcơn ác mộng (ep 4.x) người dùng đến hệ thống như một dịch vụ ??
(Chỉ POC, sẽ ghi tệp nhật ký vào system32)

kết nối với \https://t.co/6Pk2UnOXaG với
- người dùng: .gentilguest
- password: mật khẩu

Mở 'Máy in hợp pháp Kiwi - x64', sau đó mở 'Máy in hợp pháp Kiwi - x64 (một cái khác)' pic.twitter.com/zHX3aq9PpM

- ????? Benjamin Delpy (@gentilkiwi) 17 Tháng Bảy, 2021

Anh ấy đã thiết lập một máy chủ máy in từ xa tại \\ printnightmare [.] gentilkiwi [.] com Việc tải xuống trình điều khiển bị tấn công sẽ mở ra lời nhắc hệ thống, có nghĩa là người dùng công ty hoặc tin tặc có quyền truy cập vào một tài khoản hạn chế giờ đây có thể dễ dàng nâng cao đặc quyền và giành quyền kiểm soát hoàn toàn PC của họ.

Tìm thêm thông tin.

BleepingComputer đã thử nghiệm bản hack trên PC chạy Windows 10 21H1 đã được vá đầy đủ và ngoại trừ trình điều khiển độc hại được Windows Defender phát hiện, việc khai thác hoạt động trơn tru như dự định.

Cho đến khi Microsoft khắc phục sự cố thì việc giảm thiểu khá khó khăn, từ việc vô hiệu hóa Print Spooler và về cơ bản là tất cả quá trình in cho đến việc tạo danh sách tùy chỉnh các máy in từ xa mà người dùng được phép cài đặt.

Đọc thêm về vụ tấn công và các biện pháp giảm thiểu có thể có tại BleepingComputer tại đây.