Rilevare i tentativi di sfruttamento di PrintNightmare (CVE-2021-1675)
Indice:
Un noto bug di esecuzione di codice remoto (RCE) nel Windows Print Spooler consente agli attaccanti di ottenere il pieno compromesso del sistema sulle istanze non patchate. La vulnerabilità , soprannominata PrintNightmare (CVE-2021-1675), inizialmente è stata classificata come problema a bassa gravità che consente l’escalation dei privilegi a livello di amministratore sugli host mirati. Tuttavia, dopo ricerche approfondite da parte di esperti che hanno scoperto il potenziale per la RCE, l’impatto è stato rivalutato come critico.
Descrizione CVE-2021-1675
Il difetto PrintNightmare si verifica a causa di configurazioni errate nel Print Spooler (spoolsv.exe), un’utility dedicata di Windows utilizzata dai manutentori di app per gestire i lavori di stampa. In caso di sfruttamento riuscito, la vulnerabilità fornisce agli avversari il pieno controllo sull’host interessato. Tuttavia, per ottenere la RCE sulla macchina mirata, gli hacker devono essere autenticati al sistema. In caso di incapacità di autenticazione, i malintenzionati possono sfruttare il bug per scalare i loro privilegi a livello di amministratore, il che rende questo difetto una risorsa importante nello scenario di attacco.
CVE-2021-1675 è stata divulgata e corretta da Microsoft durante il suo rilascio del Patch Tuesday di giugno, con la ricerca accreditata a Zhipeng Huo del Tencent Security Xuanwu Lab, Piotr Madej di AFINE e Yunhai Zhang del NSFOCUS TIANJI Lab.
Inizialmente, è stato dichiarato che la vulnerabilità è di bassa gravità e potrebbe essere sfruttata solo per l’escalation dei privilegi. Tuttavia, il 27 giugno 2021, un gruppo di ricercatori indipendenti di QiAnXin ha descritto lo sfruttamento riuscito di CVE-2021-1675 che consente di raggiungere la RCE sui sistemi mirati. Sebbene i ricercatori di QiAnXin non abbiano fornito dettagli tecnici nella loro demo video, il proof-of-concept (PoC) completamente sviluppato è stato accidentalmente pubblicato su GitHub. In particolare, il 29 giugno 2021, esperti di sicurezza di Sanghor hanno pubblicato una descrizione tecnica completa del bug accompagnata dal codice sorgente del PoC. Il repository GitHub è stato messo offline in un paio di ore, tuttavia, è stato sufficiente per clonare il codice e condividerlo pubblicamente.
Rilevamento e Mitigazione CVE-2021-1675
La vulnerabilità impatta tutte le versioni di Windows OS supportate oggi e potrebbe consentire il compromesso delle versioni più vecchie di Windows, inclusi XP e Vista. Si esorta gli utenti a applicare la patch il prima possibile a causa della gravità critica del difetto e della disponibilità di PoC funzionanti.
Per rilevare i tentativi di sfruttamento di CVE-202101675 e proteggere la tua organizzazione da intrusioni, puoi scaricare una regola Sigma basata sul comportamento già rilasciata nel Threat Detection Marketplace dal Team SOC Prime:
https://tdm.socprime.com/tdm/info/hk7bRwla5EX5/#sigma
La regola ha traduzioni nelle seguenti lingue:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye
EDR: SentinelOne, Carbon Black
MITRE ATT&CK:
Tattiche: Escalation dei Privilegi
Tecniche: Sfruttamento per Escalation dei Privilegi (T1068), Sfruttamento di Servizi Remoti (T1210)
Iscriviti al Threat Detection Marketplace per accedere a oltre 100.000 elementi di contenuto SOC qualificati, cross-vendor e cross-tool, personalizzati per oltre 20 tecnologie leader di mercato in SIEM, EDR, NTDR e XDR. Sei entusiasta di partecipare ad attività di caccia alle minacce e arricchire la nostra libreria con nuove regole Sigma? Unisciti al nostro Threat Bounty Program per un futuro più sicuro!
