Экстренный патч Microsoft обошли через 12 часов после релиза

Аналитик CERT Coordination Center Уилл Дорманн отметил, что уже очень давно не имел дело со столь серьёзными проблемами. Он предупредил, что исправление обезвреживает только один вариант уязвимости.

The Microsoft fix released for recent #PrintNightmare vulnerability addresses the remote vector — however the LPE variations still function. These work out of the box on Windows 7, 8, 8.1, 2008 and 2012 but require Point&Print configured for Windows 2016,2019,10 & 11(?). 🤦‍♂️ https://t.co/PRO3p99CFo

— Hacker Fantastic (@hackerfantastic) July 6, 2021

Выпустив патч, Microsoft заявила, что он полностью закрывает баг. Но уже спустя 12 часов исследователь безопасности Бенджамин Делпи продемонстрировал, что это не так.

Он на скорую руку написал эксплойт, который при определённых настройках в системе позволяет полностью обойти патч, локально повысить привилегии и дистанционно выполнить произвольный код. Для этого должна быть активна политика Point and Print Restrictions, а в параметре «When installing drivers for a new connection» должен быть выбран пункт «Do not show warning on elevation prompt».

Dealing with strings & filenames is hard😉
New function in #mimikatz 🥝to normalize filenames (bypassing checks by using UNC instead of \\server\share format)

So a RCE (and LPE) with #printnightmare on a fully patched server, with Point & Print enabled

> https://t.co/Wzb5GAfWfd pic.twitter.com/HTDf004N7r

— 🥝 Benjamin Delpy (@gentilkiwi) July 7, 2021

Microsoft заявила, что уже изучает выводы ИБ-специалистов, и примет дополнительные меры для защиты юзеров, если угроза подтвердится. Эксперты советуют пользователям отключать проблемную службу, когда в ней нет необходимости, до выхода полноценного патча.