introduzione

Secondo Microsoft, "Esiste una vulnerabilità legata all'esecuzione di codice in modalità remota quando il servizio Spooler di stampa di Windows esegue in modo errato operazioni sui file con privilegi. Un utente malintenzionato che sfruttasse con successo questa vulnerabilità potrebbe eseguire codice arbitrario con privilegi SYSTEM. Un utente malintenzionato potrebbe quindi installare programmi; visualizzare, modificare o eliminare dati; o creare nuovi account con diritti utente completi“.

Per comprendere meglio la vulnerabilità PrintNightmare (o qualsiasi altra vulnerabilità), dovresti prendere l'abitudine di ricercare le vulnerabilità leggendo articoli Microsoft su qualsiasi vulnerabilità specifica di Windows. CVE o navigare in Internet per cercare post sui blog della community e dei fornitori.

C'è stata una certa confusione se il file CVE-2021-1675 E CVE-2021-34527 sono legati tra loro. Vanno sotto lo stesso nome: Vulnerabilità legata all'esecuzione di codice in modalità remota nello spooler di stampa di Windows e sono entrambi legati a Spooler di stampa.

COME Microsoft afferma nelle FAQ, la vulnerabilità PrintNightmare (CVE-2021-34527) “è simile ma distinto dalla vulnerabilità assegnata CVE-2021-1675. Anche il vettore di attacco è diverso”.

Cosa intendeva Microsoft con il vettore di attacco? Per rispondere a questa domanda, esaminiamo le differenze tra le due vulnerabilità e aggiungiamo la sequenza temporale degli eventi.

Per Quello di Microsoft definizione, La vulnerabilità PrintNightmare è “Esiste una vulnerabilità legata all'esecuzione di codice in modalità remota quando il servizio Spooler di stampa di Windows esegue in modo improprio operazioni sui file privilegiati. Un utente malintenzionato che sfruttasse con successo questa vulnerabilità potrebbe eseguire codice arbitrario con privilegi di SISTEMA. Un utente malintenzionato potrebbe quindi installare programmi; visualizzare, modificare o eliminare dati; o creare nuovi account con diritti utente completi.”.

L'esecuzione di codice arbitrario comporta l'esecuzione di qualsiasi comando scelto e preferito dall'aggressore sul computer della vittima.
Supponiamo che tu abbia la possibilità di guardare entrambi i CVE su Microsoft. Noteresti che i vettori di attacco per entrambi sono diversi.

Per sfruttare la vulnerabilità CVE-2021-1675, l'aggressore dovrebbe avere accesso diretto o locale alla macchina per utilizzare un malware DLL file per aumentare i privilegi. Per sfruttare con successo la vulnerabilità CVE-2021-34527, l'aggressore può iniettare in remoto il file DLL dannoso.

Ottieni le note sul certificato OSCP

Risposte alle sfide

Dove abiliteresti o disabiliteresti il servizio spooler di stampa?
Fornire il CVE della vulnerabilità legata all'esecuzione di codice in modalità remota dello spooler di stampa di Windows che non richiede l'accesso locale al computer.

Che data era il CVE assegnato per la vulnerabilità nella domanda precedente? (mm/gg/aaaa)

Qual è il flag che risiede sul desktop dell'amministratore?
Fornisci il primo percorso della cartella in cui probabilmente troverai il payload DLL eliminato.

Fornire la funzione utilizzata per installare i driver della stampante.

Quale strumento può utilizzare l'aggressore per cercare server di stampa vulnerabili?

Fornire il nome della DLL eliminata, incluso il codice di errore. (nessuno spazio dopo la virgola)
svch0st.dll,0x45A
Fornire il nome del registro eventi e l'ID evento che ha rilevato la DLL eliminata. (nessuno spazio dopo la virgola)
Microsoft-Windows-PrintService/Admin,808

Trovare il nome dell'origine e l'ID evento quando il servizio spooler di stampa si è interrotto in modo imprevisto e quante volte è stato registrato questo evento? (formato: rispondere, rispondere, rispondere)

Responsabile del controllo del servizio,7031,1
Dopo alcuni passaggi di caccia alle minacce, ora sei più sicuro che si tratti di un attacco PrintNightmare. Cerca la connessione shell dell'aggressore. Fornire il nome del registro, l'ID evento e la porta di destinazione. (formato: rispondere, rispondere, rispondere)
Microsoft-Windows-Sysmon/Operativo,3,4747

Oh no! Pensi di aver trovato il collegamento con l'aggressore. È necessario conoscere l'indirizzo IP dell'aggressore e il nome host di destinazione per interrompere la connessione. Fornire l'indirizzo IP e il nome host dell'aggressore. (formato: rispondi, rispondi)

10.10.210.100,ip-10-10-210-100.eu-west-1.compute.internal

Un sistema File creato l'evento è stato generato e registrato. Fornire il percorso completo dell'elemento eliminato DLL e la prima ora di creazione in UTC. (formato:risposta,aaaa-mm-gg hh-mm-ss)

C:\Windows\System32\spool\drivers\x64\3\New\svch0st.dll,2021-08-13 17:33:40
Qual è il nome host del controller di dominio?
vittoria-1O0UJBNP9G7

Qual è il dominio locale?

printnightmare.local

Quale account utente è stato utilizzato per sfruttare la vulnerabilità?

lowprivlarry

Qual era il dannoso DLL usato nell'exploit?

letmein.dll

Qual era l'indirizzo IP dell'aggressore?

10.10.124.236

Qual era il percorso UNC in cui si trovava il file dannoso DLL è stato ospitato?

\10.10.124.236\condividi

Nei risultati sono presenti pacchetti crittografati. Qual era il protocollo associato?

SMB3
Fornire due modi per disabilitare manualmente il servizio spooler di stampa. (formato: risposta, risposta)
PowerShell, criteri di gruppo

Dove è possibile disabilitare il servizio spooler di stampa in Criteri di gruppo? (formato: nessuno spazio tra le barre)

Configurazione computer/Modelli amministrativi/Stampanti

Fornire il comando in PowerShell per rilevare se il servizio spooler di stampa è abilitato e in esecuzione.

Get-Service -Name Spooler

Video walk-through

Ottieni note sul campo sulla sicurezza informatica iscrivendoti al mio canale YouTube

, , ,
Mostra commenti

Motasem

Circa l'autore

Creo note sulla sicurezza informatica, note di marketing digitale e corsi online. Fornisco anche consulenza di marketing digitale, inclusi ma non limitati a SEO, annunci Google e Meta e amministrazione CRM.

Visualizza articoli