Экстренный патч Microsoft обошли через 12 часов после релиза
Во вторник Microsoft выложила внеплановое исправление критической уязвимости PrintNightmare в диспетчере очереди печати во всех актуальных сборках Windows. Она позволяет хакерам взять под контроль целевое устройство и удалённо исполнять код с повышением привилегий. Как оказалось, «заплатка» в некоторых случаях бесполезна, пишет Bleeping Computer.
Аналитик CERT Coordination Center Уилл Дорманн отметил, что уже очень давно не имел дело со столь серьёзными проблемами. Он предупредил, что исправление обезвреживает только один вариант уязвимости.
The Microsoft fix released for recent #PrintNightmare vulnerability addresses the remote vector — however the LPE variations still function. These work out of the box on Windows 7, 8, 8.1, 2008 and 2012 but require Point&Print configured for Windows 2016,2019,10 & 11(?). 🤦♂️ https://t.co/PRO3p99CFo
— Hacker Fantastic (@hackerfantastic) July 6, 2021
Выпустив патч, Microsoft заявила, что он полностью закрывает баг. Но уже спустя 12 часов исследователь безопасности Бенджамин Делпи продемонстрировал, что это не так.
Он на скорую руку написал эксплойт, который при определённых настройках в системе позволяет полностью обойти патч, локально повысить привилегии и дистанционно выполнить произвольный код. Для этого должна быть активна политика Point and Print Restrictions, а в параметре «When installing drivers for a new connection» должен быть выбран пункт «Do not show warning on elevation prompt».
Dealing with strings & filenames is hard😉 New function in #mimikatz 🥝to normalize filenames (bypassing checks by using UNC instead of \\server\share format)
So a RCE (and LPE) with #printnightmare on a fully patched server, with Point & Print enabled
Microsoft заявила, что уже изучает выводы ИБ-специалистов, и примет дополнительные меры для защиты юзеров, если угроза подтвердится. Эксперты советуют пользователям отключать проблемную службу, когда в ней нет необходимости, до выхода полноценного патча.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.