Einführung
Laut Microsoft: „Eine Sicherheitsanfälligkeit bezüglich Remotecodeausführung liegt vor, wenn der Windows-Druckspoolerdienst privilegierte Dateivorgänge nicht ordnungsgemäß ausführt. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, könnte beliebigen Code mit SYSTEM-Berechtigungen ausführen. Ein Angreifer könnte dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit vollständigen Benutzerrechten erstellen.“.
Um die PrintNightmare-Sicherheitslücke (oder jede andere Sicherheitslücke) besser zu verstehen, sollten Sie sich angewöhnen, die Sicherheitslücken zu recherchieren, indem Sie Microsoft-Artikel zu allen Windows-spezifischen CVE oder durchsuchen Sie das Internet nach Community- und Anbieter-Blogbeiträgen.
Es gab einige Verwirrung, wenn die CVE-2021-1675 Und CVE-2021-34527 sind miteinander verwandt. Sie tragen den gleichen Namen: Sicherheitslücke bei Remotecodeausführung im Windows-Druckerspooler und sind beide verbunden mit der Druckspooler.
Als Microsoft heißt es in den FAQ, die PrintNightmare (CVE-2021-34527)-Sicherheitslücke „ist ähnlich, unterscheidet sich aber von der Sicherheitslücke mit der Nummer CVE-2021-1675. Auch der Angriffsvektor ist anders.“
Was meinte Microsoft mit dem Angriffsvektor? Um diese Frage zu beantworten, sehen wir uns die Unterschiede zwischen den beiden Sicherheitslücken an und fügen die Zeitleiste der Ereignisse an.
Pro Microsoft Definition, PrintNightmare-Sicherheitslücke ist „Es besteht eine Sicherheitsanfälligkeit bezüglich Remotecodeausführung, wenn der Windows-Druckspoolerdienst privilegierte Dateioperationen unsachgemäß ausführt. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, könnte beliebigen Code ausführen mit SYSTEM-Berechtigungen. Ein Angreifer könnte dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit vollen Benutzerrechten erstellen.“
Beim Ausführen beliebigen Codes werden auf dem Computer eines Opfers beliebige Befehle nach Wahl und Präferenz des Angreifers ausgeführt.
Angenommen, Sie hätten Gelegenheit, sich beide CVEs von Microsoft anzusehen. Sie würden feststellen, dass die Angriffsmethoden beider unterschiedlich sind.
Um die Schwachstelle CVE-2021-1675 auszunutzen, müsste der Angreifer direkten oder lokalen Zugriff auf die Maschine haben, um einen bösartigen DLL Datei, um die Berechtigungen zu erhöhen. Um die Schwachstelle CVE-2021-34527 erfolgreich auszunutzen, kann der Angreifer die bösartige DLL-Datei aus der Ferne einschleusen.
Holen Sie sich Hinweise zum OSCP-Zertifikat
Antworten auf die Herausforderungen
Welches Datum war das CVE für die Sicherheitslücke in der vorherigen Frage zugewiesen? (tt/mm/jjjj)
Stellen Sie die Funktion bereit, die zum Installieren von Druckertreibern verwendet wird.
Mit welchem Tool kann der Angreifer nach anfälligen Druckservern suchen?
Suchen Sie den Quellennamen und die Ereignis-ID, wenn der Druckerspoolerdienst unerwartet beendet wurde, und wie oft wurde dieses Ereignis protokolliert? (Format: Antwort, Antwort, Antwort)
Oh nein! Sie glauben, Sie haben die Verbindung des Angreifers gefunden. Sie müssen die IP-Adresse des Angreifers und den Zielhostnamen kennen, um die Verbindung zu beenden. Geben Sie die IP-Adresse des Angreifers und den Hostnamen an. (Format: Antwort, Antwort)
Ein Sysmon Datei erstellt Ereignis generiert und protokolliert wurde. Geben Sie den vollständigen Pfad zu den gelöschten DLL und die früheste Erstellungszeit in UTC. (Format:Antwort,jjjj-mm-tt hh-mm-ss)
Was ist die lokale Domäne?
Welches Benutzerkonto wurde verwendet, um die Sicherheitsanfälligkeit auszunutzen?
Was war die bösartige DLL im Exploit verwendet?
Wie lautete die IP-Adresse des Angreifers?
Was war der UNC-Pfad, in dem die bösartigen DLL wurde gehostet?
In den Ergebnissen sind verschlüsselte Pakete enthalten. Welches Protokoll war damit verknüpft?
Wo können Sie den Druckerspoolerdienst in der Gruppenrichtlinie deaktivieren? (Format: keine Leerzeichen zwischen den Schrägstrichen)
Geben Sie den Befehl in PowerShell ein, um festzustellen, ob der Druckerspoolerdienst aktiviert und ausgeführt wird.
Video-Anleitung
Erhalten Sie Feldnotizen zur Cybersicherheit, indem Sie meinem YouTube-Kanal beitreten