Introduction
Selon Microsoft, "Il existe une vulnérabilité d'exécution de code à distance lorsque le service Windows Print Spooler effectue de manière incorrecte des opérations sur les fichiers privilégiés. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire avec les privilèges SYSTEM. Un attaquant pourrait alors installer des programmes ; afficher, modifier ou supprimer des données ; ou créez de nouveaux comptes avec tous les droits d'utilisateur“.
Pour mieux comprendre la vulnérabilité PrintNightmare (ou toute vulnérabilité), vous devez prendre l'habitude de rechercher les vulnérabilités en lisant les articles Microsoft sur n'importe quel système spécifique à Windows. CVE ou en parcourant Internet pour trouver des articles de blog sur la communauté et les fournisseurs.
Il y a eu une certaine confusion si le CVE-2021-1675 et CVE-2021-34527 sont liés les uns aux autres. Ils portent le même nom : Vulnérabilité d'exécution de code à distance du spouleur d'impression Windows et sont tous deux liés à Spouleur d'impression.
Comme Microsoft indique dans la FAQ, la vulnérabilité PrintNightmare (CVE-2021-34527) «est similaire mais distincte de la vulnérabilité attribuée CVE-2021-1675. Le vecteur d’attaque est également différent.
Qu’entendait Microsoft par vecteur d’attaque ? Pour répondre à cette question, examinons les différences entre les deux vulnérabilités et joignons la chronologie des événements.
Par de Microsoft définition, La vulnérabilité PrintNightmare est « il existe une vulnérabilité d'exécution de code à distance lorsque le service Windows Print Spooler effectue de manière incorrecte des opérations sur les fichiers privilégiés. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire avec les privilèges SYSTÈME. Un attaquant pourrait alors installer des programmes ; afficher, modifier ou supprimer des données ; ou créez de nouveaux comptes avec tous les droits d'utilisateur.
L'exécution de code arbitraire implique l'exécution de toutes les commandes choisies et préférées par l'attaquant sur la machine de la victime.
Supposons que vous ayez eu l'occasion de consulter les deux CVE sur Microsoft. Vous remarquerez que les vecteurs d’attaque pour les deux sont différents.
Pour exploiter la vulnérabilité CVE-2021-1675, l'attaquant devrait avoir un accès direct ou local à la machine pour utiliser un logiciel malveillant. DLL fichier pour élever les privilèges. Pour exploiter avec succès la vulnérabilité CVE-2021-34527, l'attaquant peut injecter à distance le fichier DLL malveillant.
Obtenir les notes du certificat OSCP
Réponses au défi
Quelle date était le CVE attribué pour la vulnérabilité dans la question précédente ? (mm/jj/aaaa)
Fournissez la fonction utilisée pour installer les pilotes d’imprimante.
Quel outil l'attaquant peut-il utiliser pour rechercher les serveurs d'impression vulnérables ?
Recherchez le nom de la source et l'ID de l'événement lorsque le service Spouleur d'impression s'est arrêté de manière inattendue et combien de fois cet événement a-t-il été enregistré ? (format: répondre, répondre, répondre)
Oh non! Vous pensez avoir trouvé la connexion de l'attaquant. Vous devez connaître l'adresse IP de l'attaquant et le nom d'hôte de destination afin de mettre fin à la connexion. Fournissez l'adresse IP et le nom d'hôte de l'attaquant. (format: répondre, répondre)
Un Sysmon FichierCréé l'événement a été généré et enregistré. Fournissez le chemin complet vers le fichier déposé DLL et la première heure de création en UTC. (format:répondre,aaaa-mm-jj hh-mm-ss)
Qu'est-ce que le domaine local ?
Quel compte utilisateur a été utilisé pour exploiter la vulnérabilité ?
Quel était le malware DLL utilisé dans l'exploit ?
Quelle était l'adresse IP de l'attaquant ?
Quel était le chemin UNC où le malware DLL a été hébergé ?
Il y a des paquets chiffrés dans les résultats. Quel était le protocole associé ?
Où pouvez-vous désactiver le service Spouleur d’impression dans la stratégie de groupe ? (format: pas d'espace entre les barres obliques)
Fournissez la commande dans PowerShell pour détecter si le service de spouleur d'impression est activé et en cours d'exécution.
Vidéo pas à pas
Obtenez des notes de terrain sur la cybersécurité en devenant membre de ma chaîne YouTube