Rilevare i tentativi di sfruttamento di PrintNightmare (CVE-2021-1675)
Indice:
Un noto bug di esecuzione di codice remoto (RCE) nel Windows Print Spooler consente agli attaccanti di ottenere il pieno compromesso del sistema sulle istanze non patchate. La vulnerabilitĂ , soprannominata PrintNightmare (CVE-2021-1675), inizialmente è stata classificata come problema a bassa gravitĂ che consente l’escalation dei privilegi a livello di amministratore sugli host mirati. Tuttavia, dopo ricerche approfondite da parte di esperti che hanno scoperto il potenziale per la RCE, l’impatto è stato rivalutato come critico.
Descrizione CVE-2021-1675
Il difetto PrintNightmare si verifica a causa di configurazioni errate nel Print Spooler (spoolsv.exe), un’utility dedicata di Windows utilizzata dai manutentori di app per gestire i lavori di stampa. In caso di sfruttamento riuscito, la vulnerabilitĂ fornisce agli avversari il pieno controllo sull’host interessato. Tuttavia, per ottenere la RCE sulla macchina mirata, gli hacker devono essere autenticati al sistema. In caso di incapacitĂ di autenticazione, i malintenzionati possono sfruttare il bug per scalare i loro privilegi a livello di amministratore, il che rende questo difetto una risorsa importante nello scenario di attacco.
CVE-2021-1675 è stata divulgata e corretta da Microsoft durante il suo rilascio del Patch Tuesday di giugno, con la ricerca accreditata a Zhipeng Huo del Tencent Security Xuanwu Lab, Piotr Madej di AFINE e Yunhai Zhang del NSFOCUS TIANJI Lab.
Inizialmente, è stato dichiarato che la vulnerabilità è di bassa gravitĂ e potrebbe essere sfruttata solo per l’escalation dei privilegi. Tuttavia, il 27 giugno 2021, un gruppo di ricercatori indipendenti di QiAnXin ha descritto lo sfruttamento riuscito di CVE-2021-1675 che consente di raggiungere la RCE sui sistemi mirati. Sebbene i ricercatori di QiAnXin non abbiano fornito dettagli tecnici nella loro demo video, il proof-of-concept (PoC) completamente sviluppato è stato accidentalmente pubblicato su GitHub. In particolare, il 29 giugno 2021, esperti di sicurezza di Sanghor hanno pubblicato una descrizione tecnica completa del bug accompagnata dal codice sorgente del PoC. Il repository GitHub è stato messo offline in un paio di ore, tuttavia, è stato sufficiente per clonare il codice e condividerlo pubblicamente.
Rilevamento e Mitigazione CVE-2021-1675
La vulnerabilitĂ impatta tutte le versioni di Windows OS supportate oggi e potrebbe consentire il compromesso delle versioni piĂą vecchie di Windows, inclusi XP e Vista. Si esorta gli utenti a applicare la patch il prima possibile a causa della gravitĂ critica del difetto e della disponibilitĂ di PoC funzionanti.
Per rilevare i tentativi di sfruttamento di CVE-202101675 e proteggere la tua organizzazione da intrusioni, puoi scaricare una regola Sigma basata sul comportamento giĂ rilasciata nel Threat Detection Marketplace dal Team SOC Prime:
https://tdm.socprime.com/tdm/info/hk7bRwla5EX5/#sigma
La regola ha traduzioni nelle seguenti lingue:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye
EDR: SentinelOne, Carbon Black
MITRE ATT&CK:
Tattiche: Escalation dei Privilegi
Tecniche: Sfruttamento per Escalation dei Privilegi (T1068), Sfruttamento di Servizi Remoti (T1210)
Iscriviti al Threat Detection Marketplace per accedere a oltre 100.000 elementi di contenuto SOC qualificati, cross-vendor e cross-tool, personalizzati per oltre 20 tecnologie leader di mercato in SIEM, EDR, NTDR e XDR. Sei entusiasta di partecipare ad attivitĂ di caccia alle minacce e arricchire la nostra libreria con nuove regole Sigma? Unisciti al nostro Threat Bounty Program per un futuro piĂą sicuro!
