PrintNightmare (CVE-2021-1675) 悪用試行を検出する

Windows Print Spoolerの悪名高いリモートコード実行（RCE）バグは、攻撃者が未修正のインスタンスでシステム全体を危険にさらすことを可能にします。この脆弱性はPrintNightmare（CVE-2021-1675）と呼ばれ、当初は標的とされたホストで管理者への特権昇格を可能にする低重大度の問題として評価されていました。しかし、RCE の可能性を発見した専門家による詳細な調査の後、影響は重要として再評価されました。

CVE-2021-1675 の説明

PrintNightmareの欠陥は、Print Spooler（spoolsv.exe）の構成ミスにより発生します。これは、アプリの管理者が印刷ジョブを進めるために活用する専用のWindowsユーティリティです。脆弱性がうまく悪用された場合、攻撃者は影響を受けたホストを完全に制御できます。しかし、標的マシンでRCEを達成するには、ハッカーがシステムに認証されている必要があります。認証の手段がない場合、脅威アクターはこのバグを利用して自分の特権を管理者に昇格させることができ、攻撃シナリオにおいてこの欠陥を重要な資産にします。

CVE-2021-1675は、Microsoftが6月のパッチ火曜日に公開し、修正されました。研究の貢献者には、Tencent Security Xuanwu LabのZhipeng Huo、AFINEのPiotr Madej、NSFOCUS TIANJI LabのYunhai Zhangが名を連ねています。

当初は、脆弱性は低重大度であり、特権昇格にのみ悪用される可能性があると宣言されていました。しかし、2021年6月27日、QiAnXinの独立した研究者グループが 説明しました 標的システムでRCEに到達できるCVE-2021-1675の成功した悪用を。このQiAnXin研究者たちはビデオデモで技術的な詳細を一切提供しませんでしたが、完成した概念実証（PoC）エクスプロイトは誤ってGitHubで公開されました。特に、2021年6月29日、Sanghorのセキュリティ専門家が 公開しました PoCソースコードを伴ったバグの完全な技術的説明を。GitHubリポジトリは数時間でオフラインになりましたが、その時間でコードをクローンし公開するには十分でした。

CVE-2021-1675の検出と緩和

脆弱性は現在サポートされているすべてのWindows OSバージョンに影響し、XPやVistaを含む古いWindowsバージョンを危険にさらす可能性があります。ユーザーには この欠陥の重大な深刻さと、動作するPoCが入手可能なことから、できるだけ早くパッチを適用するように促されています。 できるだけ早く適用するように促されています。

CVE-2021-1675の攻撃を検出し、組織の侵入からあなたを守るために、SOC Prime TeamがThreat Detection Marketplaceで既にリリースしている行動に基づくSigmaルールをダウンロードすることができます。

https://tdm.socprime.com/tdm/info/hk7bRwla5EX5/#sigma

このルールは、以下の言語への翻訳が含まれています：

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye

EDR: SentinelOne, Carbon Black

MITRE ATT&CK:

戦術: 特権昇格

技法: 特権昇格のためのエクスプロイト (T1068), リモートサービスのエクスプロイト (T1210)

Threat Detection Marketplaceにサインアップして、20以上の市場をリードするSIEM、EDR、NTDR、XDR技術に合わせた10万以上の資格があり、様々なベンダーやツールのSOCコンテンツ項目にアクセスしてください。脅威ハンティング活動に参加し、新しいSigmaルールでライブラリを充実させたいですか？私たちのThreat Bounty Programに参加してより安全な未来を築きましょう！

プラットフォームに移動 Threat Bountyに参加