NESABAMEDIA.COM – Para peneliti mengaku telah bisa melakukan bypass pada pembaruan penambalan darurat Microsoft Windows KB5004945 untuk kerentanan PrintNightmare, dan mencapai hukuman kode jarak jauh serta eskalasi hak istimewa lokal, meski pembaruan tersebut telah terpasang.
Sebelumnya, Microsoft merilis pembaruan keselamatan darurat KB5004945 out of grup musik yang semestinya memperbaiki kerentanan PrintNightmare yang diungkapkan para peneliti secara tidak sengaja pada bulan kemudian.
Setelah pembaruan dirilis, peneliti keamanan Matthew Hickey, salah satu pendiri dari Hacker House dan Will Dorman, analis kerentanan untuk CERT/CC, menyampaikan bahwa Microsoft cuma memperbaiki unsur hukuman kode jarak jauh dari kerentanan.
Namun, malware dan para pelaku peretasan yang menebar ancaman itu masih mampu memakai unsur eskalasi hak istimewa lokal untuk mampu mendapatkan hak istimewa metode pada perangkat yang rentan, hanya jika Point & Print Policy diaktifkan.
The Microsoft fix released for recent #PrintNightmare vulnerability addresses the remote vector – however the LPE variations still function. These work out of the box on Windows 7, 8, 8.1, 2008 and 2012 but require Point&Print configured for Windows 2016,2019,10 & 11(?). 🤦♂️ https://t.co/PRO3p99CFo
— Hacker Fantastic (@hackerfantastic) July 6, 2021
Kini, sehabis kian banyak peneliti mulai melakukan penyesuaian eksploitasi mereka, dan menguji pembaruan tambalan itu, ditemukan fakta bahwa eksploitasi mampu melaksanakan bypass seluruh pembaruan tambalan sepenuhnya untuk mencapai eskalasi hak istimewa setempat (LPE) dan hukuman isyarat jarak jauh (RCE).
Dealing with strings & filenames is hard😉
New function in #mimikatz 🥝to normalize filenames (bypassing checks by using UNC instead of \servershare format)So a RCE (and LPE) with #printnightmare on a fully patched server, with Point & Print enabled
> https://t.co/Wzb5GAfWfd pic.twitter.com/HTDf004N7r
— 🥝 Benjamin Delpy (@gentilkiwi) July 7, 2021
Dormann juga mengkonfirmasi bypass penambalan tersebut di akun Twitternya. Dia juga menjelaskan bagaimana proses bypass sampai pembaruan dari Microsoft itu bisa ditembus.
Untuk melakukan bypass patch PrintNightmare dan meraih RCE dan LPE, Windows Policy yang bernama Point and Print Restrictions mesti diaktifkan, dan pengaturan “When Installing Drivers for a New Connection”, harus disetel menjadi “Do Not Show Warning on Elevation Prompt”.
Policy itu terletak di Computer Configuration → Administrative Templates → Printers → Point and Print Restrictions.
Ketika diaktifkan, “NoWarningNoElevationOnInstall” yang ada di registry HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsNT\Printers\PointAndPrint akan dikontrol dengan setelan 1 di kunci registry.
Hickey pun menyarankan untuk para admin dan pengguna Windows untuk mematikan layanan Print Spooler untuk melindungi perangkat mereka sampai pembaruan penambalan yang seharusnya dirilis.
Microsoft mengaku sedang melaksanakan investigasi atas klaim bypass pembaruan mereka itu. Mereka mengatakan bahwa bypass itu mampu terjadi, saat direktur mengganti pengaturan registry apalagi dahulu, di mana itu harus memerlukan penetrasi atau pembobolan lain. Microsoft juga mengatakan bahwa mereka akan mengambil langkah lebih lanjut untuk melindungi pelanggan mereka bila pemeriksaan mengindikasikan adanya problem yang lebih serius.
Sumber harus di isi