Исследователям в области кибербезопасности удалось обойти срочный патч от Microsoft, который должен был устранить опасную уязвимость PrintNightmare. Несмотря на установленную заплатку, эксперты смогли добиться удалённого выполнения кода и локального повышения прав в системе.
Напомним, что около суток назад Microsoft выпустила внеплановый апдейт под номером KB5004945. Как утверждали сами разработчики, этот патч должен избавить пользователей от уязвимости PrintNightmare.
Само собой, специалисты ринулись проверять KB5004945 с помощью своих эксплойтов. В результате выяснилось, что слегка модифицированный код для эксплуатации PrintNightmare может свести на нет патч от Microsoft. Экспертам удалось как повысить права, так и выполнить код удалённо. Проблему подтвердил и создатель Mimikatz Бенджамин Делпи.
Однако для обхода патча должны быть соблюдены некоторые условия. Например, на целевой системе должна быть активирована политика Windows «Point and Print Restrictions», а функция «When installing drivers for a new connection» должна быть настроена как «Do not show warning on elevation prompt».
Пользователям порекомендовали временно отключить службу Print Spooler.