Detectar Intentos de Explotación de PrintNightmare (CVE-2021-1675)
Tabla de contenidos:
Un notorio error de ejecución remota de código (RCE) en el Windows Print Spooler permite a los atacantes lograr un compromiso completo del sistema en las instancias no parcheadas. La vulnerabilidad, denominada PrintNightmare (CVE-2021-1675), se calificó inicialmente como un problema de baja severidad que permite la escalada de privilegios a administrador en los hosts objetivo. Sin embargo, tras una investigación profunda por parte de expertos que descubrieron el potencial para RCE, el impacto fue reevaluado como crítico.
Descripción de CVE-2021-1675
La falla PrintNightmare ocurre debido a malas configuraciones en Print Spooler (spoolsv.exe), una utilidad dedicada de Windows utilizada por los mantenedores de aplicaciones para continuar con los trabajos de impresión. En caso de ser explotada exitosamente, la vulnerabilidad proporciona a los adversarios el control total sobre el host afectado. No obstante, para lograr RCE en la máquina objetivo, los hackers necesitan estar autenticados en el sistema. En caso de no haber capacidad para la autenticación, los actores de amenaza pueden explotar el error para escalar sus privilegios a administrador, lo que hace de esta falla un activo importante en el escenario del ataque.
CVE-2021-1675 fue divulgada y parchada por Microsoft durante su lanzamiento Patch Tuesday de junio, con el crédito de la investigación otorgado a Zhipeng Huo del Tencent Security Xuanwu Lab, Piotr Madej de AFINE, y Yunhai Zhang del NSFOCUS TIANJI Lab.
Inicialmente, se declaró que la vulnerabilidad era de baja severidad y podría ser explotada solo para la escalada de privilegios. Sin embargo, el 27 de junio de 2021, un grupo de investigadores independientes de QiAnXin describió la explotación exitosa de CVE-2021-1675 que permite alcanzar RCE en los sistemas objetivo. Aunque los investigadores de QiAnXin no proporcionaron detalles técnicos en su demostración en video, el exploit de prueba de concepto (PoC) completamente desarrollado fue publicado accidentalmente en GitHub. En particular, el 29 de junio de 2021, expertos en seguridad de Sanghor publicaron una descripción técnica completa del error acompañada por el código fuente de PoC. El repositorio de GitHub fue retirado en un par de horas, sin embargo, eso fue suficiente para clonar el código y compartirlo públicamente.
Detección y Mitigación de CVE-2021-1675
La vulnerabilidad afecta a todas las versiones de Windows OS compatibles hoy en día y podría permitir comprometer las versiones más antiguas de Windows, incluidas XP y Vista. Se insta a los usuarios a aplicar el parche lo antes posible debido a la gravedad crítica de la falla y la disponibilidad de un PoC funcional.
Para detectar intentos de explotación de CVE-202101675 y proteger su organización de intrusiones, puede descargar una regla Sigma basada en comportamiento ya lanzada en el Threat Detection Marketplace por el equipo de SOC Prime:
https://tdm.socprime.com/tdm/info/hk7bRwla5EX5/#sigma
La regla tiene traducciones a los siguientes idiomas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye
EDR: SentinelOne, Carbon Black
MITRE ATT&CK:
Tácticas: Escalada de Privilegios
Técnicas: Explotación para Escalada de Privilegios (T1068), Explotación de Servicios Remotos (T1210)
Regístrese en el Threat Detection Marketplace para acceder a más de 100K elementos de contenido SOC calificados, de varios proveedores y herramientas, adaptados a más de 20 tecnologías líderes del mercado: SIEM, EDR, NTDR y XDR. ¿Entusiasmado por participar en actividades de caza de amenazas y enriquecer nuestra biblioteca con nuevas reglas Sigma? ¡Únete a nuestro Threat Bounty Program para un futuro más seguro!
