Detectar Tentativas de Exploração PrintNightmare (CVE-2021-1675)
Índice:
Um notório bug de execução remota de código (RCE) no Windows Print Spooler permite que atacantes comprometam totalmente o sistema em instâncias não corrigidas. A vulnerabilidade, chamada de PrintNightmare (CVE-2021-1675), foi inicialmente classificada como um problema de baixa gravidade que permite a escalada de privilégios para administrador nos hosts visados. No entanto, após uma pesquisa aprofundada por especialistas que descobriram o potencial para RCE, o impacto foi reavaliado para crítico.
Descrição do CVE-2021-1675
A falha PrintNightmare ocorre devido a configurações incorretas no Print Spooler (spoolsv.exe), uma utilidade dedicada do Windows utilizada por mantenedores de aplicativos para prosseguir com trabalhos de impressão. Caso explorada com sucesso, a vulnerabilidade oferece aos adversários controle total sobre o host afetado. No entanto, para atingir RCE na máquina alvo, os hackers precisam estar autenticados no sistema. Se não houver possibilidade de autenticação, os atacantes podem explorar o bug para escalar seus privilégios para administrador, o que torna essa falha um ativo importante no cenário de ataque.
CVE-2021-1675 foi divulgado e corrigido pela Microsoft durante seu lançamento do Patch Tuesday de junho, com a pesquisa creditada a Zhipeng Huo do Laboratório Xuanwu da Tencent Security, Piotr Madej da AFINE e Yunhai Zhang do Laboratório NSFOCUS TIANJI.
Inicialmente, foi declarado que a vulnerabilidade era de baixa gravidade e poderia ser explorada apenas para escalada de privilégios. No entanto, em 27 de junho de 2021, um grupo de pesquisadores independentes da QiAnXin descreveu a exploração bem-sucedida do CVE-2021-1675 que permite alcançar RCE nos sistemas visados. Embora os pesquisadores da QiAnXin não tenham fornecido detalhes técnicos em seu vídeo demonstração, o exploit de prova de conceito (PoC) completo foi acidentalmente liberado no GitHub. Em particular, em 29 de junho de 2021, especialistas em segurança da Sanghor publicaram uma descrição técnica completa do bug acompanhada pelo código-fonte do PoC. O repositório do GitHub foi tirado do ar em algumas horas, no entanto, isso foi suficiente para clonar o código e compartilhá-lo publicamente.
Detecção e Mitigação CVE-2021-1675
A vulnerabilidade impacta todas as versões do sistema operacional Windows suportadas hoje e pode permitir comprometer as versões mais antigas do Windows, incluindo XP e Vista. Os usuários são instados a aplicar o patch o mais rápido possível devido à gravidade crítica da falha e à disponibilidade de PoC funcionando.
Para detectar tentativas de exploração do CVE-202101675 e proteger sua organização de intrusões, você pode baixar uma regra Sigma baseada em comportamento já lançada no Threat Detection Marketplace pela equipe da SOC Prime:
https://tdm.socprime.com/tdm/info/hk7bRwla5EX5/#sigma
A regra tem traduções para os seguintes idiomas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye
EDR: SentinelOne, Carbon Black
MITRE ATT&CK:
Táticas: Escalada de Privilégios
Técnicas: Exploração para Escalada de Privilégios (T1068), Exploração de Serviços Remotos (T1210)
Inscreva-se no Threat Detection Marketplace para alcançar mais de 100.000 itens de conteúdo SOC qualificados, intercompatíveis e adequados para mais de 20 tecnologias líderes de mercado em SIEM, EDR, NTDR e XDR. Entusiasmado para participar de atividades de caça a ameaças e enriquecer nossa biblioteca com novas regras Sigma? Junte-se ao nosso Programa de Recompensas por Ameaças para um futuro mais seguro!
