Détecter les Tentatives d’Exploitation de PrintNightmare (CVE-2021-1675)

Une vulnérabilité d’exécution de code à distance (RCE) notoire dans le service Windows Print Spooler permet aux attaquants de compromettre complètement le système sur les instances non corrigées. La vulnérabilité, surnommée PrintNightmare (CVE-2021-1675), a initialement été considérée comme un problème de faible gravité permettant une élévation de privilèges à l’administrateur sur les hôtes ciblés. Cependant, après une recherche approfondie par des experts qui ont découvert le potentiel pour RCE, l’impact a été réévalué comme critique.

Description de CVE-2021-1675

La faille PrintNightmare se produit en raison de mauvaises configurations dans Print Spooler (spoolsv.exe), une utilité Windows dédiée utilisée par les mainteneurs d’apps pour traiter les travaux d’impression. Si elle est exploitée avec succès, la vulnérabilité fournit aux adversaires un contrôle total sur l’hôte affecté. Cependant, pour atteindre RCE sur la machine ciblée, les hackers doivent être authentifiés sur le système. S’il n’y a pas de possibilité d’authentification, les acteurs malveillants peuvent exploiter la faille pour élever leurs privilèges à administrateur, ce qui fait de cette faille un atout important dans le scénario d’attaque.

CVE-2021-1675 a été divulgué et corrigé par Microsoft lors de sa mise à jour de juin Patch Tuesday, avec la recherche créditée à Zhipeng Huo du Tencent Security Xuanwu Lab, Piotr Madej d’AFINE, et Yunhai Zhang du NSFOCUS TIANJI Lab.

Initialement, il a été déclaré que la vulnérabilité est de faible gravité et pourrait être exploitée uniquement pour l’élévation de privilèges. Néanmoins, le 27 juin 2021, un groupe de chercheurs indépendants de QiAnXin a décrit l’exploitation réussie de CVE-2021-1675 permettant d’atteindre RCE sur les systèmes ciblés. Bien que les chercheurs de QiAnXin n’aient fourni aucun détail technique dans leur démonstration vidéo, le proof-of-concept (PoC) complet a été accidentellement publié sur GitHub. En particulier, le 29 juin 2021, des experts en sécurité de Sanghor ont publié une description technique complète du bug accompagnée du code source PoC. Le dépôt GitHub a été mis hors ligne en quelques heures, cependant, cela a suffi pour cloner le code et le partager publiquement.

Détection et Atténuation de CVE-2021-1675

La vulnérabilité impacte toutes les versions de Windows OS prises en charge aujourd’hui et pourrait permettre de compromettre les versions Windows antérieures, y compris XP et Vista. Les utilisateurs sont invités à appliquer le correctif dès que possible en raison de la gravité critique de la faille et de la disponibilité d’un PoC fonctionnel.

Pour détecter les tentatives d’exploitation de CVE-202101675 et protéger votre organisation contre les intrusions, vous pouvez télécharger une règle Sigma basée sur le comportement déjà publiée sur Threat Detection Marketplace par l’équipe SOC Prime :

https://tdm.socprime.com/tdm/info/hk7bRwla5EX5/#sigma

La règle a des traductions vers les langages suivants :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye

EDR : SentinelOne, Carbon Black

MITRE ATT&CK :

Tactiques : Élévation de Privilèges

Techniques : Exploitation pour l’Élévation de Privilèges (T1068), Exploitation de Services Distants (T1210)

Inscrivez-vous à Threat Detection Marketplace pour accéder à plus de 100 000 éléments de contenu SOC qualifiés, multi-constructeurs et multi-outils, adaptés à plus de 20 technologies SIEM, EDR, NTDR et XDR leaders du marché. Enthousiaste à participer à des activités de chasse aux menaces et enrichir notre bibliothèque avec de nouvelles règles Sigma ? Rejoignez notre Programme de Récompense pour les Menaces pour un avenir plus sûr !

Accéder à la Plateforme Rejoindre la Récompense pour les Menaces