Erkennung von PrintNightmare (CVE-2021-1675) Exploit-Versuchen
Inhaltsverzeichnis:
Ein berüchtigtes Remote-Code-Ausführungs-Bug (RCE) im Windows-Druckspooler ermöglicht Angreifern, die vollständige Systemkompromittierung auf den ungepatchten Instanzen zu erreichen. Die Schwachstelle, PrintNightmare (CVE-2021-1675) genannt, wurde zunächst als ein Problem niedriger Schwere eingestuft, das eine Privilegieneskalation zum Administrator auf den angegriffenen Hosts ermöglicht. Nach eingehender Forschung von Experten, die das Potenzial für RCE entdeckten, wurde die Auswirkung jedoch als kritisch neu bewertet.
CVE-2021-1675 Beschreibung
Die Sicherheitslücke PrintNightmare tritt aufgrund von Fehlkonfigurationen im Druckspooler (spoolsv.exe) auf, einem speziellen Windows-Dienstprogramm, das von App-Administratoren genutzt wird, um Druckaufträge auszuführen. Wenn die Schwachstelle erfolgreich ausgenutzt wird, erhalten Gegner die volle Kontrolle über den betroffenen Host. Um jedoch RCE auf dem angegriffenen Gerät zu erreichen, müssen sich die Angreifer beim System authentifizieren. Wenn keine Authentifizierung möglich ist, können Bedrohungsakteure den Fehler ausnutzen, um ihre Privilegien auf Admin zu eskalieren, was diesen Fehler zu einem wichtigen Element im Angriffsszenario macht.
CVE-2021-1675 wurde während der Juni Patch Tuesday-Veröffentlichung von Microsoft offengelegt und gepatcht, wobei die Forschung Zhipeng Huo von Tencent Security Xuanwu Lab, Piotr Madej von AFINE und Yunhai Zhang von NSFOCUS TIANJI Lab zugeschrieben wurde.
Zunächst wurde erklärt, dass die Schwachstelle von niedriger Schwere ist und möglicherweise nur für Privilegieneskalation ausgenutzt werden kann. Dennoch, am 27. Juni 2021, eine Gruppe unabhängiger Forscher von QiAnXin beschrieben die erfolgreiche Ausnutzung von CVE-2021-1675, die es ermöglicht, RCE auf den angegriffenen Systemen zu erreichen. Obwohl QiAnXin-Forscher in ihrem Video-Demo keine technischen Details bereitstellten, wurde das vollständig ausgearbeitete Proof-of-Concept (PoC) Exploit versehentlich auf GitHub veröffentlicht. Insbesondere, am 29. Juni 2021, haben Sicherheitsexperten von Sanghor veröffentlicht eine vollständige technische Beschreibung des Fehlers zusammen mit dem Quellcode des PoC. Das GitHub-Repository wurde in ein paar Stunden offline genommen, jedoch war dies genug, um den Code zu klonen und öffentlich zu teilen.
CVE-2021-1675 Erkennung und Abmilderung
Die Schwachstelle betrifft alle heute unterstützten Versionen des Windows-Betriebssystems und könnte die älteren Windows-Versionen, einschließlich XP und Vista, gefährden. Benutzer werden aufgefordert, den Patch anzuwenden so schnell wie möglich aufgrund der kritischen Schwere der Schwachstelle und der Verfügbarkeit eines funktionierenden PoC.
Um Versuche der Ausnutzung von CVE-202101675 zu erkennen und Ihre Organisation vor Eindringlingen zu schützen, können Sie eine verhaltensbasierte Sigma-Regel herunterladen, die bereits vom SOC Prime Team im Threat Detection Marketplace veröffentlicht wurde:
https://tdm.socprime.com/tdm/info/hk7bRwla5EX5/#sigma
Die Regel hat Übersetzungen in die folgenden Sprachen:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye
EDR: SentinelOne, Carbon Black
MITRE ATT&CK:
Taktiken: Privilegieneskalation
Techniken: Ausnutzung zur Privilegieneskalation (T1068), Ausnutzung von Remote-Diensten (T1210)
Melden Sie sich bei Threat Detection Marketplace an, um Zugang zu über 100.000 qualifizierten, plattformübergreifenden SOC-Inhaltsartikeln für mehr als 20 marktführende SIEM-, EDR-, NTDR- und XDR-Technologien zu erhalten. Möchten Sie an Bedrohungsjagden teilnehmen und unsere Bibliothek mit neuen Sigma-Regeln bereichern? Treten Sie unserem Threat Bounty-Programm für eine sicherere Zukunft bei!
