PrintNightmare (CVE-2021-1675) 악용 시도 감지
목차:
Windows Print Spooler에서 악명 높은 원격 코드 실행 (RCE) 버그는 패치되지 않은 인스턴스에서 공격자가 전체 시스템 손상을 초래할 수 있게 합니다. 이 취약점은 PrintNightmare (CVE-2021-1675)로 명명되었으며, 처음에는 타겟 호스트에서 관리자 권한 상승을 가능하게 하는 저위험 문제로 평가되었습니다. 그러나 전문가들이 RCE 가능성을 발견한 심층적인 연구 후, 그 영향은 중대함으로 재평가되었습니다.
CVE-2021-1675 설명
PrintNightmare 결함은 Print Spooler (spoolsv.exe)의 잘못된 구성으로 발생하며, 이는 앱 유지보수자가 인쇄 작업을 수행하는 데 활용하는 전용 Windows 유틸리티입니다. 성공적으로 악용될 경우, 이 취약점은 공격자에게 영향을 받은 호스트에 대한 전체 제어권을 제공합니다. 그러나 타겟 기계에서 RCE를 달성하기 위해, 해커는 시스템에 인증되어야 합니다. 인증의 가능성이 없을 경우, 위협 행위자는 버그를 이용해 관리자 권한으로 명칭을 상승시킬 수 있으며, 이는 이 결함을 공격 시나리오에서 중요한 자산으로 만듭니다.
CVE-2021-1675는 Microsoft의 6월 패치 화요일 릴리즈 시점에서 공개 및 패치되었으며, 연구는 Tencent Security Xuanwu Lab의 Zhipeng Huo, AFINE의 Piotr Madej, NSFOCUS TIANJI Lab의 Yunhai Zhang에게 공로가 주어졌습니다.
처음에는 이 취약점이 저위험 수준으로 선언되었으며, 관리자 권한 상승에만 사용될 수 있는 것으로 여겨졌습니다. 그러나 2021년 6월 27일, QiAnXin의 독립 연구자 그룹이 설명한 CVE-2021-1675의 성공적인 악용 사례는 타겟 시스템에서 RCE를 달성할 수 있도록 합니다. QiAnXin 연구자들은 영상 데모에서 기술 세부사항을 제공하지 않았지만, 완전한 개념 증명 (PoC) 익스플로잇이 GitHub에 우연히 게시되었습니다. 특히 2021년 6월 29일, Sanghor의 보안 전문가들이 게시한 버그의 전체 기술 설명은 PoC 소스 코드와 함께 제공되었습니다. GitHub 리포지토리는 몇 시간 안에 오프라인으로 전환되었지만, 코드를 복제해 공개적으로 공유하기에 충분한 시간이었습니다.
CVE-2021-1675 탐지 및 완화
이 취약점은 오늘날 지원되는 모든 Windows OS 버전에 영향을 미치며, XP 및 Vista를 포함한 오래된 Windows 버전을 손상시킬 수 있습니다. 사용자들은 패치를 적용할 것이 촉구됩니다. 결함의 중대한 심각성과 작동 가능한 PoC의 이용 가능성 때문에 가능한 한 빨리 적용해야 합니다.
CVE-202101675 악용 시도를 탐지하고 조직을 침입으로부터 보호하기 위해서는 SOC Prime 팀에서 Threat Detection Marketplace에 이미 출시된 행동 기반 Sigma 규칙을 다운로드할 수 있습니다.
https://tdm.socprime.com/tdm/info/hk7bRwla5EX5/#sigma
이 규칙은 다음 언어로 번역되었습니다:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye
EDR: SentinelOne, Carbon Black
MITRE ATT&CK:
전략: 권한 상승
기술: 권한 상승을 위한 익스플로잇 (T1068), 원격 서비스의 익스플로잇 (T1210)
Threat Detection Marketplace에 가입하여 100K 이상의 자격을 갖춘 크로스 벤더 및 크로스 도구 SOC 콘텐츠 항목을 이용 가능한 20개 이상의 시장 선도적인 SIEM, EDR, NTDR 및 XDR 기술에 맞게 조정된 아이템을 얻으세요. 위협 헌팅 활동에 참여하고 새로운 Sigma 규칙으로 라이브러리를 풍부하게 하고자 한다면, 우리의 Threat Bounty Program에 참여하여 더 안전한 미래를 대비하세요!
