Einführung

Laut Microsoft: „Eine Sicherheitsanfälligkeit bezüglich Remotecodeausführung liegt vor, wenn der Windows-Druckspoolerdienst privilegierte Dateivorgänge nicht ordnungsgemäß ausführt. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, könnte beliebigen Code mit SYSTEM-Berechtigungen ausführen. Ein Angreifer könnte dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit vollständigen Benutzerrechten erstellen.“.

Um die PrintNightmare-Sicherheitslücke (oder jede andere Sicherheitslücke) besser zu verstehen, sollten Sie sich angewöhnen, die Sicherheitslücken zu recherchieren, indem Sie Microsoft-Artikel zu allen Windows-spezifischen CVE oder durchsuchen Sie das Internet nach Community- und Anbieter-Blogbeiträgen.

Es gab einige Verwirrung, wenn die CVE-2021-1675 Und CVE-2021-34527 sind miteinander verwandt. Sie tragen den gleichen Namen: Sicherheitslücke bei Remotecodeausführung im Windows-Druckerspooler und sind beide verbunden mit der Druckspooler.

Als Microsoft heißt es in den FAQ, die PrintNightmare (CVE-2021-34527)-Sicherheitslücke „ist ähnlich, unterscheidet sich aber von der Sicherheitslücke mit der Nummer CVE-2021-1675. Auch der Angriffsvektor ist anders.“

Was meinte Microsoft mit dem Angriffsvektor? Um diese Frage zu beantworten, sehen wir uns die Unterschiede zwischen den beiden Sicherheitslücken an und fügen die Zeitleiste der Ereignisse an.

Pro Microsoft Definition, PrintNightmare-Sicherheitslücke ist „Es besteht eine Sicherheitsanfälligkeit bezüglich Remotecodeausführung, wenn der Windows-Druckspoolerdienst privilegierte Dateioperationen unsachgemäß ausführt. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, könnte beliebigen Code ausführen mit SYSTEM-Berechtigungen. Ein Angreifer könnte dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit vollen Benutzerrechten erstellen.“

Beim Ausführen beliebigen Codes werden auf dem Computer eines Opfers beliebige Befehle nach Wahl und Präferenz des Angreifers ausgeführt.
Angenommen, Sie hätten Gelegenheit, sich beide CVEs von Microsoft anzusehen. Sie würden feststellen, dass die Angriffsmethoden beider unterschiedlich sind.

Um die Schwachstelle CVE-2021-1675 auszunutzen, müsste der Angreifer direkten oder lokalen Zugriff auf die Maschine haben, um einen bösartigen DLL Datei, um die Berechtigungen zu erhöhen. Um die Schwachstelle CVE-2021-34527 erfolgreich auszunutzen, kann der Angreifer die bösartige DLL-Datei aus der Ferne einschleusen.

Holen Sie sich Hinweise zum OSCP-Zertifikat

Antworten auf die Herausforderungen

Wo würden Sie den Druckerspoolerdienst aktivieren oder deaktivieren?
Stellen Sie den CVE der Sicherheitsanfälligkeit bezüglich Remotecodeausführung im Windows-Druckerspooler bereit, für den kein lokaler Zugriff auf den Computer erforderlich ist.

Welches Datum war das CVE für die Sicherheitslücke in der vorherigen Frage zugewiesen? (tt/mm/jjjj)

Was ist die Flagge auf dem Desktop des Administrators?
Geben Sie den ersten Ordnerpfad an, in dem Sie wahrscheinlich die abgelegte DLL-Nutzlast finden würden.

Stellen Sie die Funktion bereit, die zum Installieren von Druckertreibern verwendet wird.

Mit welchem Tool kann der Angreifer nach anfälligen Druckservern suchen?

Geben Sie den Namen der gelöschten DLL einschließlich des Fehlercodes an. (kein Leerzeichen nach dem Komma)
svch0st.dll,0x45A
Geben Sie den Namen des Ereignisprotokolls und die Ereignis-ID an, die die gelöschte DLL erkannt hat. (kein Leerzeichen nach dem Komma)
Microsoft-Windows-PrintService/Admin,808

Suchen Sie den Quellennamen und die Ereignis-ID, wenn der Druckerspoolerdienst unerwartet beendet wurde, und wie oft wurde dieses Ereignis protokolliert? (Format: Antwort, Antwort, Antwort)

Dienstkontrollmanager,7031,1
Nach einigen Schritten zur Bedrohungssuche sind Sie nun sicherer, dass es sich um einen PrintNightmare-Angriff handelt. Suchen Sie nach der Shell-Verbindung des Angreifers. Geben Sie den Protokollnamen, die Ereignis-ID und den Zielport an. (Format: Antwort, Antwort, Antwort)
Microsoft-Windows-Sysmon/Operational,3,4747

Oh nein! Sie glauben, Sie haben die Verbindung des Angreifers gefunden. Sie müssen die IP-Adresse des Angreifers und den Zielhostnamen kennen, um die Verbindung zu beenden. Geben Sie die IP-Adresse des Angreifers und den Hostnamen an. (Format: Antwort, Antwort)

10.10.210.100,ip-10-10-210-100.eu-west-1.compute.internal

Ein Sysmon Datei erstellt Ereignis generiert und protokolliert wurde. Geben Sie den vollständigen Pfad zu den gelöschten DLL und die früheste Erstellungszeit in UTC. (Format:Antwort,jjjj-mm-tt hh-mm-ss)

C:\Windows\System32\spool\drivers\x64\3\New\svch0st.dll,2021-08-13 17:33:40
Wie lautet der Hostname des Domänencontrollers?
win-1O0UJBNP9G7

Was ist die lokale Domäne?

printnightmare.local

Welches Benutzerkonto wurde verwendet, um die Sicherheitsanfälligkeit auszunutzen?

niedrigprivlarry

Was war die bösartige DLL im Exploit verwendet?

letmein.dll

Wie lautete die IP-Adresse des Angreifers?

10.10.124.236

Was war der UNC-Pfad, in dem die bösartigen DLL wurde gehostet?

\10.10.124.236\sharez

In den Ergebnissen sind verschlüsselte Pakete enthalten. Welches Protokoll war damit verknüpft?

SMB3
Bietet zwei Möglichkeiten zum manuellen Deaktivieren des Druckerspoolerdienstes. (Format: Antwort,Antwort)
Powershell, Gruppenrichtlinie

Wo können Sie den Druckerspoolerdienst in der Gruppenrichtlinie deaktivieren? (Format: keine Leerzeichen zwischen den Schrägstrichen)

Computerkonfiguration/Administrative Vorlagen/Drucker

Geben Sie den Befehl in PowerShell ein, um festzustellen, ob der Druckerspoolerdienst aktiviert und ausgeführt wird.

Get-Service -Name Spooler

Video-Anleitung

Erhalten Sie Feldnotizen zur Cybersicherheit, indem Sie meinem YouTube-Kanal beitreten

, , ,
Anmerkungen anzeigen

Motasem

Über den Autor

Ich erstelle Notizen zur Cybersicherheit, Notizen zum digitalen Marketing und Online-Kurse. Ich biete auch Beratung zum digitalen Marketing an, einschließlich, aber nicht beschränkt auf SEO, Google- und Meta-Anzeigen und CRM-Verwaltung.

Artikel anzeigen