Ende Juni veröffentlichten Forschungsteams Informationen über eine Sicherheitslücke für Remotecodeausführung (RCE) in Microsoft Windows Print Spooler, die jetzt als CVE-2021-1675 bekannt ist. Ein Angreifer kann diese Sicherheitsanfälligkeit (Spitzname: PrintNightmare) ausnutzen, um die Kontrolle über ein betroffenes System zu übernehmen. Diese Schwachstelle scheint schon seit einiger Zeit in Windows vorhanden zu sein, und die Forscher waren in der Lage, einen Exploit als Proof of Concept (POC) zu entwickeln, um am Tianfu Cup teilnehmen zu können.
Wir wissen, dass Angreifer vor dem Ausnutzen dieses Exploits mehrere Aktionen durchführen werden, die bestehende Vectra Erkennungen auslösen würden. Diese Erkennungen stehen in Zusammenhang mit Befehls- und Kontrollfunktionen wie External Remote Access oder HTTPS Hidden Tunnel, Erkundungstechniken wie Port Scan, Port Sweep und Targeted RPC Recon sowie auf Anmeldeinformationen basierende laterale Bewegungen wie Suspicious Remote Execution oder Privilege Access Anomaly.
Windows Print Spooler hat eine lange Geschichte von Schwachstellen, und seine Allgegenwärtigkeit kann ernsthafte Auswirkungen auf Ziele haben. Da der POC für diesen Angriff nun öffentlich ist und dieser Angriff so einfach zu implementieren ist, hat Vectra ein benutzerdefiniertes Modell entwickelt, um unsere bestehende Abdeckung zu erweitern und die Verwendung dieses Exploits hervorzuheben.
Erzielen Sie vollständige Transparenz
Der Angriff beruht auf der Erstellung eines neuen Netzwerkdruckertreibers, der mit einer bösartigen Dynamic Link Library (DLL) verbunden ist. Das bedeutet, dass wir den Angriff erkennen können, indem wir nach diesen beiden unterschiedlichen Aktivitäten suchen und den Angriff schnell stoppen.
Die erste dieser Aktivitäten ist der DCE/RPC-Befehl, mit dem der neue Netzwerkdrucker hinzugefügt wird.
RpcAddPrinterDriver
oder
RpcAddPrinterDriverEx
Diese Befehle können für sich genommen harmlos sein, wenn es um die Erstellung eines neuen Druckers geht. Allerdings wäre der antwortende Host mit Druckersystemen verbunden und der Ursprungshost ein Administrator, der den Drucker in solchen Fällen erstellt.
Die zweite auffällige Aktivität, auf die zu achten ist, ist das Hochladen einer verdächtigen DLL-Datei vor der Erstellung des neuen Druckertreibers. Die Operation RpcAddPrinterDriver wird mit einer bösartigen DLL-Datei verknüpft, die von einem böswilligen Bedrohungsakteur kompiliert werden muss, bevor der Exploit ausgeführt wird.
Den Bedrohungen voraus sein
Wenn Sie mehr darüber erfahren möchten, wie Vectra Angreifer in allen Phasen ihres Angriffs erkennen kann, einschließlich der Verwendung von PrintNightmare, kontaktieren Sie uns oder testen Sie unsere Lösung 30 Tage lang kostenlos!