微軟針對 PrintNightmare 的帶外修復已被駭客繞過
1分鐘讀
發表於
請閱讀我們的揭露頁面,了解如何幫助 MSPoweruser 維持編輯團隊的發展 阅读更多
昨天 微軟發布帶外補丁 用於授予攻擊者的 PrintNightmare 零日漏洞利用 完全修補的 Windows Print Spooler 設備上的完整遠程代碼執行功能。
然而,事實證明,在創紀錄的時間內發布的補丁可能存在缺陷。
微軟只修復了遠程代碼漏洞,這意味著該漏洞仍可用於本地提權。 此外,黑客很快發現該漏洞仍然可以被遠程利用。
根據 Mimikatz 的創建者 Benjamin Delpy 的說法,當啟用指向和打印策略時,可以繞過補丁來實現遠程代碼執行。
處理字符串和文件名很難嗎?
新功能 #mimikatz ? 規範化文件名(通過使用 UNC 而不是 \ servershare 格式繞過檢查)所以一個 RCE(和 LPE)與 #printnightmare 在打完補丁的服務器上,啟用 Point & Print
> https://t.co/Wzb5GAfWfd pic.twitter.com/HTDf004N7r
— ???? 本傑明·德爾佩 (@gentilkiwi) 2021 年 7 月 7 日
安全研究員 Will Dorman 證實了這種繞過。
證實。
如果你有一個 PointAndPrint NoWarningNoElevationOnInstall = 1 的系統,那麼微軟的補丁 #打印噩夢 CVE-2021-34527 不會阻止 LPE 或 RCE。 https://t.co/RgIc1yrnhn pic.twitter.com/Ntxe9wpuke-Will Dormann(@wdormann) 2021 年 7 月 7 日
目前,安全研究人員建議管理員保持禁用打印後台處理程序服務,直到所有問題得到解決。
在 BleepingComputer 閱讀更多詳細信息 点击這裡.