Компания Microsoft недавно выпустила обновление для уязвимости PrintNightmare. Оно было обязательным для установки на нескольких версиях систем Windows. Обновление усилило защиту при помощи дополнительных требований к учётным данным администратора при установке неподписанных драйверов принтера на сервер печати. Однако, специалист по информационной безопасности методом обратной инженерии создал файл Windows DLL для обхода проверки Microsoft на наличие удалённых библиотек и смог получить доступ к полностью обновлённому серверу.

PrintNightmare даёт возможность дистанционно задействовать службу Windows Printer Spooler и выполнять произвольные команды с правами администратора. Патч Microsoft не помог. Исследователь по имени Бенджамин Делпи утверждает, что Microsoft задействует проверку «\\» в формате имени файла для определения того, удалена библиотека или нет. Эту проверку можно обойти при помощи UNC, в результате чего удалось использовать эксплоит на полностью обновлённой версии Windows Server 2019 с включенной службой Point and Print.

Microsoft пишет, что использование этой службы ослабляет локальную безопасность. Комбинация обхода UNC и PoC позволяет злоумышленникам получить доступ.

Делпи считает, что Microsoft не слишком усердствовала при тестировании патча. Теперь остаётся наблюдать, сможет ли компания закрыть эту уязвимость на постоянной основе и когда. До тех пор многие университеты начали отключать службу печати в своих кампусах, как и другие организации и предприятия. Даже если они не используют дистанционную печать, они должны применить определённые настройки групповых политик, чтобы не стать жертвами PrintNightmare.