微软针对 PrintNightmare 的带外修复已被黑客绕过

昨天 微软发布带外补丁 用于授予攻击者的 PrintNightmare 零日漏洞利用 完全修补的 Windows Print Spooler 设备上的完整远程代码执行功能。

然而，事实证明，在创纪录的时间内发布的补丁可能存在缺陷。

微软只修复了远程代码漏洞，这意味着该漏洞仍可用于本地提权。 此外，黑客很快发现该漏洞仍然可以被远程利用。

根据 Mimikatz 的创建者 Benjamin Delpy 的说法，当启用指向和打印策略时，可以绕过补丁来实现远程代码执行。

处理字符串和文件名很难吗？
新功能 #mimikatz ? 规范化文件名（通过使用 UNC 而不是 \ servershare 格式绕过检查）

所以一个 RCE（和 LPE）与 #printnightmare 在打完补丁的服务器上，启用 Point & Print

> https://t.co/Wzb5GAfWfd pic.twitter.com/HTDf004N7r

— ???? 本杰明·德尔佩 (@gentilkiwi) 2021 年 7 月 7 日

安全研究员 Will Dorman 证实了这种绕过。

确认的。
如果你有一个 PointAndPrint NoWarningNoElevationOnInstall = 1 的系统，那么微软的补丁 #打印噩梦 CVE-2021-34527 不会阻止 LPE 或 RCE。 https://t.co/RgIc1yrnhn pic.twitter.com/Ntxe9wpuke

-Will Dormann（@wdormann） 2021 年 7 月 7 日

目前，安全研究人员建议管理员在解决所有问题之前禁用 Print Spooler 服务。

在 BleepingComputer 阅读更多详细信息 点击此处.