Araştırmacılar, RESMİ KODU YÜRÜTMESİ VE YEREL PRIVETIGE UYGULAMALARI UYGULAMAK İÇİN BRUP NIGHTMARE güvenlik açığının Microsoft Acil Yamasını atladı.
Dün gece, Microsoft, geçen ay kaza ile ifşa edildiği Araştırmacıların açıkladığı BrodnightMare güvenlik açığını düzeltmesi gereken bir Bant dışı KB5004945 güvenlik güncelleştirmesini yayınladı.
Güncelleme serbest bırakıldıktan sonra, güvenlik araştırmacıları Matthew Hickey, Hacker House'un kurucusu ve CERT / CC için güvenlik açığı analisti olan Dormann, Microsoft'un yalnızca güvenlik açığının uzaktan kod yürütme bileşenini düzelttiğini belirledi.
Bununla birlikte, kötü amaçlı yazılım ve tehdit aktörleri, yalnızca nokta ve baskı politikası etkinse, savunmasız sistemlerde sistem ayrıcalıklarını kazanmak için yerel ayrıcalık yükseltme bileşenini kullanabilirler.
Son #printnightMare güvenlik açığı için yayınlanan Microsoft Fix, uzaktan vektörü ele alır - ancak LPE varyasyonları hala çalışır. Bunlar Windows 7, 8, 8.1, 2008 ve 2012'deki kutudan çıkıyor ancak Windows 2016 201619,10 ve 11 (?) İçin yapılandırılmış nokta ve yazdırma gerektirir. https://t.co/pro3p99cfo
Günümüzde, daha fazla araştırmacı, sömürlerini değiştirmeye ve yamayı test etmeye başladığından, istismarların hem yerel ayrıcalık artışı (LPE) hem de uzak kod yürütme (RCE) elde etmek için tamamen yamayı tamamen atlayabileceği tespit edildi.
Mimikatz Creator Benjamin Delpy'ye göre, nokta ve baskı politikası etkin olduğunda, uzak kod yürütülmesini sağlamak için yama atlanabilir.
Dizeler ve dosya adlarıyla başa çıkmak zordur #Mimikatz'de yeni işlev dosya adlarını normalleştirmek için (\\ Sunucu \ Share formatı yerine UNC kullanarak çekleri atlayarak) Öyleyse #printnightMare ile bir RCE (ve LPE), tam yamalı bir sunucuda, NOKTA & PRINT etkin olan > https://t.co/wzb5gafwfd pic.twitter.com/htdf004n7r
Dormann ayrıca bu yama bypass'ı Twitter'da onayladı.
PrintNightMare düzeltme ekini atlamak ve RCE ve LPE'yi elde etmek için, 'nokta ve baskı kısıtlamaları' adı verilen bir Windows ilkesi ve "Yeni bir bağlantı için sürücüleri yüklerken" ayar "ayarını" yükseltme isteminde uyarı göstermeyin. "
Bu politika, Bilgisayar Yapılandırması> Yönetim Şablonları> Yazıcılar> Noktası ve Yazdırma Kısıtlamaları altında bulunur.
Etkinleştirildiğinde, 'NowarningNoelEvationonInstall' değeri HKEY_LOCAL_MACHINE \ Software \ Policices \ Microsoft \ Windows NT \ Printers \ PointandPrint tuşu altında 1 olarak ayarlanacaktır.
Windows Kayıt Defteri Düzenleyicisi Sürüm 5.00
[HKEY_LOCAL_MACHINE \ Software \ Policies \ Microsoft \ Windows NT \ Printers \ PointandPrint] "Nowarningnoelevationoninstall" = DWORD: 00000001
Hickey, BleepingComputer'a, çalışan bir yama serbest bırakılıncaya kadar Windows Sunucularını ve iş istasyonlarını korumak için, Windows Sunucularını ve iş istasyonlarını korumak için Admins ve Kullanıcıların, Yazdırma Biriktirme Hizmetini Devre Dışı Bırakmalarını söyledi.
BleepingComputer, "HICKEY," Bu sorunu uygun bir şekilde ele alınana kadar gerekli olmayan yazıcı biriktiriciyi devre dışı bırakmak için müşterilerimize hala tavsiye ediyoruz. "Dedi.
0Patch, bu şımartıcı, güvenlik açığını sökme girişimlerini engelleyebilen PrintNightMare için ücretsiz bir mikropatch yayınlamıştır.
Bununla birlikte, Microsoft'u 6. Temmuz düzeltme ekinin kurulmasına karşı uyarıdır, çünkü yalnızca güvenlik açıklarına karşı koruma yapmaz, ancak 'localspl.dll' dosyasını değiştirir.
"PrintNightMare'e karşı 0 Kompatch kullanıyorsanız, 6 Temmuz Windows Update'i uygulayın! Sadece yerel saldırı vektörünü düzeltmez, aynı zamanda uzaktan vektörü düzeltmez. Ancak, Localspl.dll dosyasını değiştirir. 0Patch servisini tweeted "sorunu düzeltmeyi durduran düzeltme eklerimiz.
"PrintnightMare yamalarımızı Microsoft'un bant dışı güncellemesi tarafından 6 Temmuz'dan itibaren getirilen Localspl.dll sürümüne götürmemeye karar verdik, ancak Salı günü, hatalı islocalfile işlevini tamir edecek olan yama için beklemeyi tercih ederim. Yerel saldırıları engellemek için yamalarımızı limanla doldurun "
Windows kullanıcıları ve yöneticilerin aşağıdakilerden birini yapması önerilir:
Microsoft, BleepingComputer'ün bypass'ların iddialarını yamalarına araştırdıklarını söyledi.
Microsoft, "Taleplerin farkındayız ve araştırıyoruz, ancak bu zamanlarda hiçbir bypass'tan haberdar değiliz" dedi.
Ayrıca BleepingComputer'a, bypass'ların iddialarının, bir yöneticinin varsayılan kayıt defteri ayarlarını güvensiz bir yapılandırmaya dönüştürdüğü ve bizi CVE-2021-34527 danışmanına yönlendirdiler.
Etkinleştirme noktasını ve yazdırılmasına atıfta bulunurlarsa açık değildir ve bunlara açıklama için e-posta gönderdik.
Microsoft, araştırmalar daha fazla sorun olduğunu gösteriyorsa, müşterilerini korumak için uygun bir eylemi alacağını söyledi.
Matthew Hickey, AKA Hacker fantastik, biraz zaman ayıracak kadar kibardı ve bugün Benimle Sohbet Etme Yazıcısı Hakkında Sohbet Etme ve Nasıl Çalışıyordu.
PrintNightMare, Eksik ACL (Erişim Kontrol Listesi), AddPrinterDriverex (), RPCADDPRInterDriver () (), RPCADDPRInterDriver () ve RPCASYKADDPRInterDriver () ve RPCASYKADDPRInterDriver () Windows API fonksiyonlarını bir baskı sunucusuna kurmak için kullanılan Windows ACL (Erişim Kontrol Listesi) denetlendiğinden oluşan bir güvenlik açığıdır. .
Bu fonksiyonların her biri, aşağıda listelenen farklı Windows API'lerle kullanılır:
PrintNightMare ile bir izin kontrolü, daha sonra C: \ Windows \ System32 \ Spool \ Drivers klasörüne, daha sonra uzaktan kod yürütülmesi veya yerel ayrıcalık artışına ulaşmak için kullanıcının bir yazıcı sürücüsü olarak yüklenmesi için kötü amaçlı bir DLL yüklemek için atlanabilir.
"API, dosyaların sistem haklarıyla bu klasöre yerleştirilmesine izin vermesi halinde test ederken, bir izin verilen argümanı kullanır."
HICKEY, "Klasördeki ACL'ler hakkında önemli değil, özellikle bir API çağrısı yoluyla fonksiyona ek argümanlar sağlayarak atlanabilen SDK yazılımının içinde bir kontrol olur." Dedi.
Güvenlik açığından yararlanmak için, talepler doğrudan RPC veya LRPC ile doğrudan yerel hizmete gönderilebilir.
Microsoft'un OOB yaması, kırılganlığın uzaktan sömürüsünü engellemeye odaklandı ve yalnızca yöneticilerin imzalı bir yazıcı kurmalarına izin vermek. Yama, yalnızca yöneticilerin bir sürücüyü kurmalarını, daha fazla sertleştirilmesine izin vermek için 'RestrictDriverInstallationToadministrators' kullanılarak yapılandırılabilir.
Hickey, eksik bir ACL kontrolünün altta yatan sayısını ele almadıklarını, böylece değiştirilmiş istismarların oluşturulmasını sağlar.
"Son düzeltme eki Microsoft, RCE Exploit vektörünü ele almaya odaklandı ve etrafta bulunan ortak POC'ları ele alıyor gibi görünüyor, ancak buna LRPC ve Yerel API ile de ulaşabildiğimiz için, ana bilgisayara ve koşullara bağlı olarak, yamanın yaptığı gibi görünüyor. HICKEY, HICKEY HICKEY HICKEY HICKEY, HICTEY HICTEY HICKEY, HICTEY HICTEY HICTEY, HICTEY HICTEY HICTEY HICKEY, HICKEY.
Bu, RCE bloklarını atlamanın, araştırmacıların, Delpy'nin bir UNC yolunun kullanımı gibi Microsoft'un bloğu tarafından tanımlanmayan bir yöntemi bulmaları gerektiği anlamına gelir.
Güncelleme 7/7/21 5:05 PM EST: Güvenlik açığı ve azaltma hakkında daha fazla bilgi eklendi. Güncelleme 7/7/21 8:28 PM EST: Nokta ve baskı politikasının güvenlik açığından yararlanmak için etkinleştirilmesi gerektiğini açıkça belirtin. Güncelleme 7/7/21 8:51 PM EST: Microsoft'un ifadesini ekledi. Güncelleme 7/7/21 11:58 PM EST: RestrictDriverInstallationToadMinistrators kayıt defteri değeri hakkında bilgi eklendi.
Windows 10'da Yazdırma Biriktirici Güvenlik Açığı Nasıl Alaşılır?
CISA: Yazdırma için kullanılmayan sunucularda Windows yazdırma biriktiricisini devre dışı bırak
Microsoft: PrintNightMare Güvenlik Güncellemeleri Çalışması, Yamayı Başlat!
Genel Windows PrintNightMare 0 günlük Exploit etki alanı devralınmasına izin verir
Microsoft, Windows PrintNightMare Sıfır Gün Böceği için Mitigasyonları Paylaşır
Kaynak: Bleeping Computer