Introduction

Selon Microsoft, "Il existe une vulnérabilité d'exécution de code à distance lorsque le service Windows Print Spooler effectue de manière incorrecte des opérations sur les fichiers privilégiés. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire avec les privilèges SYSTEM. Un attaquant pourrait alors installer des programmes ; afficher, modifier ou supprimer des données ; ou créez de nouveaux comptes avec tous les droits d'utilisateur“.

Pour mieux comprendre la vulnérabilité PrintNightmare (ou toute vulnérabilité), vous devez prendre l'habitude de rechercher les vulnérabilités en lisant les articles Microsoft sur n'importe quel système spécifique à Windows. CVE ou en parcourant Internet pour trouver des articles de blog sur la communauté et les fournisseurs.

Il y a eu une certaine confusion si le CVE-2021-1675 et CVE-2021-34527 sont liés les uns aux autres. Ils portent le même nom : Vulnérabilité d'exécution de code à distance du spouleur d'impression Windows et sont tous deux liés à Spouleur d'impression.

Comme Microsoft indique dans la FAQ, la vulnérabilité PrintNightmare (CVE-2021-34527) «est similaire mais distincte de la vulnérabilité attribuée CVE-2021-1675. Le vecteur d’attaque est également différent.

Qu’entendait Microsoft par vecteur d’attaque ? Pour répondre à cette question, examinons les différences entre les deux vulnérabilités et joignons la chronologie des événements.

Par de Microsoft définition, La vulnérabilité PrintNightmare est « il existe une vulnérabilité d'exécution de code à distance lorsque le service Windows Print Spooler effectue de manière incorrecte des opérations sur les fichiers privilégiés. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire avec les privilèges SYSTÈME. Un attaquant pourrait alors installer des programmes ; afficher, modifier ou supprimer des données ; ou créez de nouveaux comptes avec tous les droits d'utilisateur.

L'exécution de code arbitraire implique l'exécution de toutes les commandes choisies et préférées par l'attaquant sur la machine de la victime.
Supposons que vous ayez eu l'occasion de consulter les deux CVE sur Microsoft. Vous remarquerez que les vecteurs d’attaque pour les deux sont différents.

Pour exploiter la vulnérabilité CVE-2021-1675, l'attaquant devrait avoir un accès direct ou local à la machine pour utiliser un logiciel malveillant. DLL fichier pour élever les privilèges. Pour exploiter avec succès la vulnérabilité CVE-2021-34527, l'attaquant peut injecter à distance le fichier DLL malveillant.

Obtenir les notes du certificat OSCP

Réponses au défi

Où activer ou désactiver le service de spouleur d'impression ?
Fournissez le CVE de la vulnérabilité d’exécution de code à distance du spouleur d’impression Windows qui ne nécessite pas d’accès local à la machine.

Quelle date était le CVE attribué pour la vulnérabilité dans la question précédente ? (mm/jj/aaaa)

Quel est le drapeau résidant sur le bureau de l'administrateur ?
Fournissez le premier chemin de dossier dans lequel vous trouverez probablement la charge utile de la DLL supprimée.

Fournissez la fonction utilisée pour installer les pilotes d’imprimante.

Quel outil l'attaquant peut-il utiliser pour rechercher les serveurs d'impression vulnérables ?

Fournissez le nom de la DLL supprimée, y compris le code d'erreur. (pas d'espace après la virgule)
svch0st.dll,0x45A
Fournissez le nom du journal des événements et l'ID d'événement qui a détecté la DLL supprimée. (pas d'espace après la virgule)
Microsoft-Windows-PrintService/Admin,808

Recherchez le nom de la source et l'ID de l'événement lorsque le service Spouleur d'impression s'est arrêté de manière inattendue et combien de fois cet événement a-t-il été enregistré ? (format: répondre, répondre, répondre)

Gestionnaire de contrôle des services,7031,1
Après quelques étapes de recherche des menaces, vous êtes désormais plus sûr qu'il s'agit d'une attaque PrintNightmare. Recherchez la connexion du shell de l'attaquant. Fournissez le nom du journal, l'ID d'événement et le port de destination. (format: répondre, répondre, répondre)
Microsoft-Windows-Sysmon/Opérationnel,3,4747

Oh non! Vous pensez avoir trouvé la connexion de l'attaquant. Vous devez connaître l'adresse IP de l'attaquant et le nom d'hôte de destination afin de mettre fin à la connexion. Fournissez l'adresse IP et le nom d'hôte de l'attaquant. (format: répondre, répondre)

10.10.210.100,ip-10-10-210-100.eu-west-1.compute.internal

Un Sysmon FichierCréé l'événement a été généré et enregistré. Fournissez le chemin complet vers le fichier déposé DLL et la première heure de création en UTC. (format:répondre,aaaa-mm-jj hh-mm-ss)

C:\Windows\System32\spool\drivers\x64\3\New\svch0st.dll, 13/08/2021 17:33:40
Quel est le nom d'hôte du contrôleur de domaine ?
win-1O0UJBNP9G7

Qu'est-ce que le domaine local ?

printnightmare.local

Quel compte utilisateur a été utilisé pour exploiter la vulnérabilité ?

faibleprivlarry

Quel était le malware DLL utilisé dans l'exploit ?

letmein.dll

Quelle était l'adresse IP de l'attaquant ?

10.10.124.236

Quel était le chemin UNC où le malware DLL a été hébergé ?

\10.10.124.236\sharez

Il y a des paquets chiffrés dans les résultats. Quel était le protocole associé ?

PME3
Proposez deux manières de désactiver manuellement le service de spouleur d'impression. (format: réponse, réponse)
PowerShell, stratégie de groupe

Où pouvez-vous désactiver le service Spouleur d’impression dans la stratégie de groupe ? (format: pas d'espace entre les barres obliques)

Configuration informatique/Modèles d'administration/Imprimantes

Fournissez la commande dans PowerShell pour détecter si le service de spouleur d'impression est activé et en cours d'exécution.

Spouleur Get-Service-Name

Vidéo pas à pas

Obtenez des notes de terrain sur la cybersécurité en devenant membre de ma chaîne YouTube

, , ,
Montrer les Commentaires

Motasem

A propos de l'Auteur

Je crée des notes de cybersécurité, des notes de marketing numérique et des cours en ligne. Je fournis également des conseils en marketing numérique, y compris, mais sans s'y limiter, le référencement, les publicités Google et Meta et l'administration CRM.

Voir les Articles