introduzione
Secondo Microsoft, "Esiste una vulnerabilità legata all'esecuzione di codice in modalità remota quando il servizio Spooler di stampa di Windows esegue in modo errato operazioni sui file con privilegi. Un utente malintenzionato che sfruttasse con successo questa vulnerabilità potrebbe eseguire codice arbitrario con privilegi SYSTEM. Un utente malintenzionato potrebbe quindi installare programmi; visualizzare, modificare o eliminare dati; o creare nuovi account con diritti utente completi“.
Per comprendere meglio la vulnerabilità PrintNightmare (o qualsiasi altra vulnerabilità), dovresti prendere l'abitudine di ricercare le vulnerabilità leggendo articoli Microsoft su qualsiasi vulnerabilità specifica di Windows. CVE o navigare in Internet per cercare post sui blog della community e dei fornitori.
C'è stata una certa confusione se il file CVE-2021-1675 E CVE-2021-34527 sono legati tra loro. Vanno sotto lo stesso nome: Vulnerabilità legata all'esecuzione di codice in modalità remota nello spooler di stampa di Windows e sono entrambi legati a Spooler di stampa.
COME Microsoft afferma nelle FAQ, la vulnerabilità PrintNightmare (CVE-2021-34527) “è simile ma distinto dalla vulnerabilità assegnata CVE-2021-1675. Anche il vettore di attacco è diverso”.
Cosa intendeva Microsoft con il vettore di attacco? Per rispondere a questa domanda, esaminiamo le differenze tra le due vulnerabilità e aggiungiamo la sequenza temporale degli eventi.
Per Quello di Microsoft definizione, La vulnerabilità PrintNightmare è “Esiste una vulnerabilità legata all'esecuzione di codice in modalità remota quando il servizio Spooler di stampa di Windows esegue in modo improprio operazioni sui file privilegiati. Un utente malintenzionato che sfruttasse con successo questa vulnerabilità potrebbe eseguire codice arbitrario con privilegi di SISTEMA. Un utente malintenzionato potrebbe quindi installare programmi; visualizzare, modificare o eliminare dati; o creare nuovi account con diritti utente completi.”.
L'esecuzione di codice arbitrario comporta l'esecuzione di qualsiasi comando scelto e preferito dall'aggressore sul computer della vittima.
Supponiamo che tu abbia la possibilità di guardare entrambi i CVE su Microsoft. Noteresti che i vettori di attacco per entrambi sono diversi.
Per sfruttare la vulnerabilità CVE-2021-1675, l'aggressore dovrebbe avere accesso diretto o locale alla macchina per utilizzare un malware DLL file per aumentare i privilegi. Per sfruttare con successo la vulnerabilità CVE-2021-34527, l'aggressore può iniettare in remoto il file DLL dannoso.
Ottieni le note sul certificato OSCP
Risposte alle sfide
Che data era il CVE assegnato per la vulnerabilità nella domanda precedente? (mm/gg/aaaa)
Fornire la funzione utilizzata per installare i driver della stampante.
Quale strumento può utilizzare l'aggressore per cercare server di stampa vulnerabili?
Trovare il nome dell'origine e l'ID evento quando il servizio spooler di stampa si è interrotto in modo imprevisto e quante volte è stato registrato questo evento? (formato: rispondere, rispondere, rispondere)
Oh no! Pensi di aver trovato il collegamento con l'aggressore. È necessario conoscere l'indirizzo IP dell'aggressore e il nome host di destinazione per interrompere la connessione. Fornire l'indirizzo IP e il nome host dell'aggressore. (formato: rispondi, rispondi)
Un sistema File creato l'evento è stato generato e registrato. Fornire il percorso completo dell'elemento eliminato DLL e la prima ora di creazione in UTC. (formato:risposta,aaaa-mm-gg hh-mm-ss)
Qual è il dominio locale?
Quale account utente è stato utilizzato per sfruttare la vulnerabilità?
Qual era il dannoso DLL usato nell'exploit?
Qual era l'indirizzo IP dell'aggressore?
Qual era il percorso UNC in cui si trovava il file dannoso DLL è stato ospitato?
Nei risultati sono presenti pacchetti crittografati. Qual era il protocollo associato?
Dove è possibile disabilitare il servizio spooler di stampa in Criteri di gruppo? (formato: nessuno spazio tra le barre)
Fornire il comando in PowerShell per rilevare se il servizio spooler di stampa è abilitato e in esecuzione.
Video walk-through
Ottieni note sul campo sulla sicurezza informatica iscrivendoti al mio canale YouTube