Introducción
Según Microsoft, “Existe una vulnerabilidad de ejecución remota de código cuando el servicio de cola de impresión de Windows realiza incorrectamente operaciones con archivos privilegiados. Un atacante que aprovechara esta vulnerabilidad podría ejecutar código arbitrario con privilegios de SISTEMA. Un atacante podría entonces instalar programas; ver, cambiar o eliminar datos; o cree nuevas cuentas con todos los derechos de usuario“.
Para comprender mejor la vulnerabilidad PrintNightmare (o cualquier vulnerabilidad), debe adquirir el hábito de investigar las vulnerabilidades leyendo artículos de Microsoft sobre cualquier vulnerabilidad específica de Windows. CVE o navegar por Internet en busca de publicaciones de blogs de la comunidad y de los proveedores.
Ha habido cierta confusión si el CVE-2021-1675 y CVE-2021-34527 están relacionados entre sí. Llevan el mismo nombre: Vulnerabilidad de ejecución remota de código en la cola de impresión de Windows y ambos están relacionados con la Cola de impresión.
Como microsoft afirma en las preguntas frecuentes, la vulnerabilidad PrintNightmare (CVE-2021-34527) “es similar pero distinta de la vulnerabilidad asignada CVE-2021-1675. El vector de ataque también es diferente”.
¿Qué quiso decir Microsoft con vector de ataque? Para responder a esta pregunta, analicemos las diferencias entre las dos vulnerabilidades y agreguemos la línea de tiempo de los eventos.
Por Microsoft definición, La vulnerabilidad de PrintNightmare es “Existe una vulnerabilidad de ejecución remota de código cuando el servicio de cola de impresión de Windows realiza incorrectamente operaciones con archivos privilegiados. Un atacante que aprovechara con éxito esta vulnerabilidad podría ejecutar código arbitrario con privilegios de SISTEMA. Un atacante podría entonces instalar programas; ver, cambiar o eliminar datos; o crear nuevas cuentas con todos los derechos de usuario”.
La ejecución de código arbitrario implica ejecutar cualquier comando elegido y preferido por el atacante en la máquina de la víctima.
Supongamos que tuvo la oportunidad de ver ambos CVE en Microsoft. Notarás que los vectores de ataque para ambos son diferentes.
Para explotar la vulnerabilidad CVE-2021-1675, el atacante necesitaría tener acceso directo o local a la máquina para utilizar un software malicioso. DLL archivo para escalar privilegios. Para explotar con éxito la vulnerabilidad CVE-2021-34527, el atacante puede inyectar de forma remota el archivo DLL malicioso.
Obtenga notas del certificado OSCP
Respuestas al desafío
¿Qué fecha fue la CVE asignado para la vulnerabilidad en la pregunta anterior? (mm/dd/aaaa)
Proporciona la función que se utiliza para instalar los controladores de impresora.
¿Qué herramienta puede utilizar el atacante para buscar servidores de impresión vulnerables?
Encuentre el nombre de la fuente y el ID del evento cuando el servicio de cola de impresión se detuvo inesperadamente y ¿cuántas veces se registró este evento? (formato: respuesta, respuesta, respuesta)
¡Oh, no! Crees que has encontrado la conexión del atacante. Necesita conocer la dirección IP del atacante y el nombre del host de destino para poder finalizar la conexión. Proporcione la dirección IP del atacante y el nombre de host. (formato: respuesta, respuesta)
un sismon Archivo creado El evento fue generado y registrado. Proporcionar la ruta completa a la caída DLL y la hora de creación más temprana en UTC. (formato:respuesta,aaaa-mm-dd hh-mm-ss)
¿Qué es el dominio local?
¿Qué cuenta de usuario se utilizó para explotar la vulnerabilidad?
¿Cuál fue el malicioso? DLL utilizado en el exploit?
¿Cuál era la dirección IP del atacante?
¿Cuál fue el camino de la UNC donde los maliciosos DLL fue alojado?
Hay paquetes cifrados en los resultados. ¿Cuál fue el protocolo asociado?
¿Dónde se puede desactivar el servicio de cola de impresión en la política de grupo? (formato: sin espacios entre las barras diagonales)
Proporcione el comando en PowerShell para detectar si el servicio de cola de impresión está habilitado y ejecutándose.
Tutorial en vídeo
Obtenga notas de campo sobre seguridad cibernética uniéndose a la membresía de mi canal de YouTube