PrintNightmare: Trong tuyên bố Microsoft phủ nhận việc bỏ qua bản vá là một mối đe dọa thực sự
2 phút đọc
Được đăng trên
Đọc trang tiết lộ của chúng tôi để tìm hiểu cách bạn có thể giúp MSPoweruser duy trì nhóm biên tập Tìm hiểu thêm
Hai ngày trước Microsoft đã phát hành một bản vá lỗi ngoài băng tần đối với khai thác PrintNightmare Zero-day, cấp cho những kẻ tấn công đầy đủ các khả năng Thực thi Mã Từ xa trên các thiết bị Windows Print Spooler được vá đầy đủ, và một ngày sau, một số tin tặc đã chỉ ra rằng bản vá có thể dễ dàng bị vượt qua.
Xử lý chuỗi & tên tệp có khó không?
Chức năng mới trong #mimikatz ? để chuẩn hóa tên tệp (bỏ qua kiểm tra bằng cách sử dụng UNC thay vì định dạng \ serverhare)Vì vậy, một RCE (và LPE) với #printcơn ác mộng trên một máy chủ được vá đầy đủ, có bật Point & Print
> https://t.co/Wzb5GAfWfd pic.twitter.com/HTDf004N7r
- ????? Benjamin Delpy (@gentilkiwi) 7 Tháng Bảy, 2021
Đã xác nhận.
Nếu bạn có một hệ thống trong đó PointAndPrint NoWarningNoElevationOnInstall = 1, thì bản vá của Microsoft dành cho #InCơn ác mộng CVE-2021-34527 không ngăn cản LPE hoặc RCE. https://t.co/RgIc1yrnhn pic.twitter.com/Ntxe9wpuke- Will Dormann (@wdormann) 7 Tháng Bảy, 2021
Microsoft hiện đã đưa ra một tuyên bố cho BleepingComputer phủ nhận rằng việc bỏ qua đưa ra một mối đe dọa thực tế, nói rằng:
“Chúng tôi biết về các xác nhận quyền sở hữu và đang điều tra, nhưng tại thời điểm này chúng tôi không biết về bất kỳ hành động bỏ qua nào,” tiếp tục “Chúng tôi đã thấy các xác nhận quyền sở hữu bỏ qua trong đó quản trị viên đã thay đổi cài đặt đăng ký mặc định thành cấu hình không an toàn. Xem hướng dẫn CVE-2021-34527 để biết thêm thông tin về các cài đặt cần thiết để bảo mật hệ thống của bạn. ”
Microsoft có lẽ có nghĩa là cho phép cài đặt trình điều khiển mà không cần cảnh báo, với công ty khẳng định cấu hình mặc định là an toàn.
Microsoft cho biết sau khi áp dụng bản vá, hãy đảm bảo các giá trị đăng ký sau (nếu chúng tồn tại) được đặt thành XNUMX:
- HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows NT \ Printers \ PointAndPrint
- NoWarningNoElevationOnInstall = 0 (DWORD) hoặc không được xác định (cài đặt mặc định)
- UpdatePromptSettings = 0 (DWORD) hoặc không được xác định (cài đặt mặc định)
Điều rõ ràng là bạn cần nhiều hơn miếng dán để thực sự an toàn. Đọc hướng dẫn cấu hình đầy đủ của Microsoft tại đây.