Introducción

Según Microsoft, “Existe una vulnerabilidad de ejecución remota de código cuando el servicio de cola de impresión de Windows realiza incorrectamente operaciones con archivos privilegiados. Un atacante que aprovechara esta vulnerabilidad podría ejecutar código arbitrario con privilegios de SISTEMA. Un atacante podría entonces instalar programas; ver, cambiar o eliminar datos; o cree nuevas cuentas con todos los derechos de usuario“.

Para comprender mejor la vulnerabilidad PrintNightmare (o cualquier vulnerabilidad), debe adquirir el hábito de investigar las vulnerabilidades leyendo artículos de Microsoft sobre cualquier vulnerabilidad específica de Windows. CVE o navegar por Internet en busca de publicaciones de blogs de la comunidad y de los proveedores.

Ha habido cierta confusión si el CVE-2021-1675 y CVE-2021-34527 están relacionados entre sí. Llevan el mismo nombre: Vulnerabilidad de ejecución remota de código en la cola de impresión de Windows y ambos están relacionados con la Cola de impresión.

Como microsoft afirma en las preguntas frecuentes, la vulnerabilidad PrintNightmare (CVE-2021-34527) “es similar pero distinta de la vulnerabilidad asignada CVE-2021-1675. El vector de ataque también es diferente”.

¿Qué quiso decir Microsoft con vector de ataque? Para responder a esta pregunta, analicemos las diferencias entre las dos vulnerabilidades y agreguemos la línea de tiempo de los eventos.

Por Microsoft definición, La vulnerabilidad de PrintNightmare es “Existe una vulnerabilidad de ejecución remota de código cuando el servicio de cola de impresión de Windows realiza incorrectamente operaciones con archivos privilegiados. Un atacante que aprovechara con éxito esta vulnerabilidad podría ejecutar código arbitrario con privilegios de SISTEMA. Un atacante podría entonces instalar programas; ver, cambiar o eliminar datos; o crear nuevas cuentas con todos los derechos de usuario”.

La ejecución de código arbitrario implica ejecutar cualquier comando elegido y preferido por el atacante en la máquina de la víctima.
Supongamos que tuvo la oportunidad de ver ambos CVE en Microsoft. Notarás que los vectores de ataque para ambos son diferentes.

Para explotar la vulnerabilidad CVE-2021-1675, el atacante necesitaría tener acceso directo o local a la máquina para utilizar un software malicioso. DLL archivo para escalar privilegios. Para explotar con éxito la vulnerabilidad CVE-2021-34527, el atacante puede inyectar de forma remota el archivo DLL malicioso.

Obtenga notas del certificado OSCP

Respuestas al desafío

¿Dónde habilitaría o deshabilitaría el servicio de cola de impresión?
Proporcione el CVE de la vulnerabilidad de ejecución remota de código de la cola de impresión de Windows que no requiere acceso local a la máquina.

¿Qué fecha fue la CVE asignado para la vulnerabilidad en la pregunta anterior? (mm/dd/aaaa)

¿Cuál es la bandera que reside en el escritorio del administrador?
Proporcione la ruta de la primera carpeta donde probablemente encontrará la carga útil de DLL eliminada.

Proporciona la función que se utiliza para instalar los controladores de impresora.

¿Qué herramienta puede utilizar el atacante para buscar servidores de impresión vulnerables?

Proporcione el nombre de la DLL eliminada, incluido el código de error. (sin espacio después de la coma)
svch0st.dll,0x45A
Proporcione el nombre del registro de eventos y el ID del evento que detectó la DLL eliminada. (sin espacio después de la coma)
Microsoft-Windows-Servicio de impresión/Administrador, 808

Encuentre el nombre de la fuente y el ID del evento cuando el servicio de cola de impresión se detuvo inesperadamente y ¿cuántas veces se registró este evento? (formato: respuesta, respuesta, respuesta)

Gerente de Control de Servicios,7031,1
Después de algunos pasos de búsqueda de amenazas, ahora tiene más confianza en que se trata de un ataque PrintNightmare. Busque la conexión shell del atacante. Proporcione el nombre del registro, el ID del evento y el puerto de destino. (formato: respuesta, respuesta, respuesta)
Microsoft-Windows-Sysmon/Operacional,3,4747

¡Oh, no! Crees que has encontrado la conexión del atacante. Necesita conocer la dirección IP del atacante y el nombre del host de destino para poder finalizar la conexión. Proporcione la dirección IP del atacante y el nombre de host. (formato: respuesta, respuesta)

10.10.210.100,ip-10-10-210-100.eu-west-1.compute.internal

un sismon Archivo creado El evento fue generado y registrado. Proporcionar la ruta completa a la caída DLL y la hora de creación más temprana en UTC. (formato:respuesta,aaaa-mm-dd hh-mm-ss)

C:\Windows\System32\spool\drivers\x64\3\New\svch0st.dll,2021-08-13 17:33:40
¿Cuál es el nombre de host del controlador de dominio?
ganar-1O0UJBNP9G7

¿Qué es el dominio local?

printnightmare.local

¿Qué cuenta de usuario se utilizó para explotar la vulnerabilidad?

lowprivlarry

¿Cuál fue el malicioso? DLL utilizado en el exploit?

letmein.dll

¿Cuál era la dirección IP del atacante?

10.10.124.236

¿Cuál fue el camino de la UNC donde los maliciosos DLL fue alojado?

\10.10.124.236\sharez

Hay paquetes cifrados en los resultados. ¿Cuál fue el protocolo asociado?

SMB3
Proporcione dos formas de desactivar manualmente el servicio de cola de impresión. (formato: respuesta, respuesta)
powershell, política de grupo

¿Dónde se puede desactivar el servicio de cola de impresión en la política de grupo? (formato: sin espacios entre las barras diagonales)

Configuración de computadora/Plantillas administrativas/Impresoras

Proporcione el comando en PowerShell para detectar si el servicio de cola de impresión está habilitado y ejecutándose.

Obtener-Servicio -Cola de nombres de nombre

Tutorial en vídeo

Obtenga notas de campo sobre seguridad cibernética uniéndose a la membresía de mi canal de YouTube

, , ,
Mostrar Comentarios

Motasem

Acerca del Autor

Creo notas de ciberseguridad, notas de marketing digital y cursos online. También brindo consultoría de marketing digital que incluye, entre otros, SEO, Google y meta anuncios y administración de CRM.

Ver Artículos