微软针对 PrintNightmare 的带外修复已被黑客绕过
1分钟读
发表于
阅读我们的披露页面,了解如何帮助 MSPoweruser 维持编辑团队 查看更多
昨天 微软发布带外补丁 用于授予攻击者的 PrintNightmare 零日漏洞利用 完全修补的 Windows Print Spooler 设备上的完整远程代码执行功能。
然而,事实证明,在创纪录的时间内发布的补丁可能存在缺陷。
微软只修复了远程代码漏洞,这意味着该漏洞仍可用于本地提权。 此外,黑客很快发现该漏洞仍然可以被远程利用。
根据 Mimikatz 的创建者 Benjamin Delpy 的说法,当启用指向和打印策略时,可以绕过补丁来实现远程代码执行。
处理字符串和文件名很难吗?
新功能 #mimikatz ? 规范化文件名(通过使用 UNC 而不是 \ servershare 格式绕过检查)所以一个 RCE(和 LPE)与 #printnightmare 在打完补丁的服务器上,启用 Point & Print
> https://t.co/Wzb5GAfWfd pic.twitter.com/HTDf004N7r
— ???? 本杰明·德尔佩 (@gentilkiwi) 2021 年 7 月 7 日
安全研究员 Will Dorman 证实了这种绕过。
确认的。
如果你有一个 PointAndPrint NoWarningNoElevationOnInstall = 1 的系统,那么微软的补丁 #打印噩梦 CVE-2021-34527 不会阻止 LPE 或 RCE。 https://t.co/RgIc1yrnhn pic.twitter.com/Ntxe9wpuke-Will Dormann(@wdormann) 2021 年 7 月 7 日
目前,安全研究人员建议管理员在解决所有问题之前禁用 Print Spooler 服务。
在 BleepingComputer 阅读更多详细信息 点击此处.