微軟針對 PrintNightmare 的帶外修復已被駭客繞過

昨天 微軟發布帶外補丁 用於授予攻擊者的 PrintNightmare 零日漏洞利用 完全修補的 Windows Print Spooler 設備上的完整遠程代碼執行功能。

然而，事實證明，在創紀錄的時間內發布的補丁可能存在缺陷。

微軟只修復了遠程代碼漏洞，這意味著該漏洞仍可用於本地提權。 此外，黑客很快發現該漏洞仍然可以被遠程利用。

根據 Mimikatz 的創建者 Benjamin Delpy 的說法，當啟用指向和打印策略時，可以繞過補丁來實現遠程代碼執行。

處理字符串和文件名很難嗎？
新功能 #mimikatz ? 規範化文件名（通過使用 UNC 而不是 \ servershare 格式繞過檢查）

所以一個 RCE（和 LPE）與 #printnightmare 在打完補丁的服務器上，啟用 Point & Print

> https://t.co/Wzb5GAfWfd pic.twitter.com/HTDf004N7r

— ???? 本傑明·德爾佩 (@gentilkiwi) 2021 年 7 月 7 日

安全研究員 Will Dorman 證實了這種繞過。

證實。
如果你有一個 PointAndPrint NoWarningNoElevationOnInstall = 1 的系統，那麼微軟的補丁 #打印噩夢 CVE-2021-34527 不會阻止 LPE 或 RCE。 https://t.co/RgIc1yrnhn pic.twitter.com/Ntxe9wpuke

-Will Dormann（@wdormann） 2021 年 7 月 7 日

目前，安全研究人員建議管理員保持禁用打印後台處理程序服務，直到所有問題得到解決。

在 BleepingComputer 閱讀更多詳細信息 点击這裡.