Lỗ hổng thực thi mã từ xa của Microsoft Windows Print Spooler (CVE-2021-34527)

PrintNightmare (CVE-2021-34527) là một lỗ hổng cho phép kẻ tấn công leo thang quyền quản trị từ tài khoản người dùng thông thường thôn qua máy chủ chạy dịch vụ Windows Print Spooler. Dịch vụ này chạy trên tất cả các máy chủ và máy khách Windows theo mặc định, bao gồm cả bộ điều khiển miền, trong môi trường Active Directory. Print Spooler, được bật theo mặc định trên Microsoft Windows, là một tệp thực thi chịu trách nhiệm quản lý tất cả các lệnh in được gửi đến máy in máy tính hoặc máy chủ in.

Một nhóm các nhà nghiên cứu bảo mật từ Sangfor đã phát hiện ra lỗi zeroday này. Trong một tweet họ có nói, “Chúng tôi đã xóa POC của PrintNightmare. Để giảm thiểu rũi ro từ lỗ hổng này, vui lòng cập nhật Windows lên phiên bản mới nhất hoặc tắt dịch vụ Bộ đệm. Để biết thêm RCE và LPE trong Spooler, hãy chú ý theo dõi và chờ buổi trò chuyện Blackhat của chúng tôi. ” Kho lưu trữ GitHub đã được đưa vào ngoại tuyến sau một vài giờ, nhưng không phải trước khi nó được nhân bản bởi một số người dùng khác.

Để phát hiện CVE, quá trình thực thi PrintNightmare tìm kiếm kernelbase.dll, unidrv.dll cùng với bất kỳ DLL khác được viết vào các thư mục con của C: \ Windows \ System32 \ spool \ drivers \ trong cùng một khung thời gian bởi spoolsv.exe . Đường dẫn trình điều khiển máy in được mã hóa cứng không cần thiết vì người ta có thể sử dụng EnumPrinterDrivers () để tìm đường dẫn cho UNIDRV.DLL.

Vào ngày 1 tháng 7 năm 2021, MS đã thêm CVE-2021-34527 và gán nó cho PrintNightmare.

CẬP NHẬT:

Như một bản cập nhật trên PrintNightmare ngày 1 tháng 7 năm 2021, Microsoft đã phát hành một update riêng liên kết zero-day này với CVE-2021-34527 dưới dạng Thực thi mã từ xa (RCE) đã được xác nhận. Theo bản vá mới mới, đánh giá khả năng khai thác cho thấy PoC được tiết lộ công khai cũng như bị khai thác tích cực trong tự nhiên. Hơn nữa, nó tóm tắt “Một cuộc tấn công phải liên quan đến một người dùng được xác thực gọi RpcAddPrinterDriverEx (). 

Lỗ hổng này có liên quan đến CVE-2021-1675 không?

Lỗ hổng này tương tự nhưng khác với lỗ hổng được gán CVE-2021-1675, lỗ hổng này giải quyết một lỗ hổng khác trong RpcAddPrinterDriverEx (). Véc tơ tấn công cũng khác. CVE-2021-1675 đã được giải quyết bằng bản cập nhật bảo mật tháng 6 năm 2021.

Nguồn ảnh: Hacker Fantastic

Sản phẩm bị ảnh hưởng

Tất cả các máy chủ và máy khách Windows, bao gồm cả bộ điều khiển miền Domain Controller.

Giảm nhẹ

Trên Microsoft Windows, tắt dịch vụ “Print Spooler” trên các máy chủ không yêu cầu.

Khách hàng tuân thủ chính sách của Qualys có thể tận dụng CID 1368 để dễ dàng xác định nội dung đã bật cài đặt này.

Cách giải quyết

Trong tư thông báo mới nhất về CVE-2021-34527, gã khổng lồ hệ điều hành đã đưa ra một số giải pháp thay thế sẽ được áp dụng.

Xác định xem dịch vụ Print Spooler có đang chạy không (chạy với tư cách Quản trị viên miền)

Chạy những điều sau với tư cách là Quản trị viên miền:

Get-Service -Name Spooler

Nếu Bộ đệm in đang chạy hoặc nếu dịch vụ không được đặt thành tắt, hãy chọn một trong các tùy chọn sau để tắt dịch vụ Bộ đệm in hoặc Tắt tính năng in từ xa đến thông qua Chính sách Nhóm :

  • Tùy chọn 1 – Tắt dịch vụ Print Spooler

Nếu việc tắt dịch vụ Print Spooler phù hợp với doanh nghiệp của bạn, hãy sử dụng các lệnh PowerShell sau:

Stop-Service -Name Spooler -Force

Set-Service -Name Spooler -StartupType đã bị vô hiệu hóa

Tác động của cách giải quyết Việc vô hiệu hóa dịch vụ Print Spooler sẽ vô hiệu hóa khả năng in cả cục bộ và từ xa.

  • Tùy chọn 2 – Tắt tính năng in từ xa đến thông qua Chính sách Nhóm

Bạn cũng có thể định cấu hình cài đặt thông qua Group Policy như sau:

Tắt chính sách “Cho phép Print Spooler chấp nhận các kết nối máy khách:” để chặn các cuộc tấn công từ xa.

Tác động của giải pháp thay thế Chính sách này sẽ chặn vectơ tấn công từ xa bằng cách ngăn các hoạt động in từ xa đến. Hệ thống sẽ không còn hoạt động như một máy chủ in, nhưng vẫn có thể in cục bộ tới thiết bị được gắn trực tiếp.

Phát hiện bằng Qualys

Khách hàng của Qualys có thể quét mạng của họ với QID 91785 để phát hiện các tài sản dễ bị tấn công.

Vui lòng tiếp tục theo dõi Qualys Threat Protection để biết thêm thông tin về các lỗ hổng bảo mật mới nhất.

Tài liệu tham khảo và Nguồn

https://github.com/cube0x0/CVE-2021-1675

https://github.com/afwu/PrintNightmare

https://www.blackhat.com/us-21/briefings/schedule/#diving-in-to-spooler-discovered-lpe-and-rce-vulnerabilities-in-windows-printer-23315

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-1675

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527

BQT Security365.

Minh họa khai thác CVE-2021-1675 có trình bày trong khóa học CEH v11PENTEST +

Hoặc xem live stream tại group Security365 / Fanpage CEH VIETNAM

Trả lời

Please log in using one of these methods to post your comment:

WordPress.com Logo

Bạn đang bình luận bằng tài khoản WordPress.com Đăng xuất /  Thay đổi )

Google photo

Bạn đang bình luận bằng tài khoản Google Đăng xuất /  Thay đổi )

Twitter picture

Bạn đang bình luận bằng tài khoản Twitter Đăng xuất /  Thay đổi )

Facebook photo

Bạn đang bình luận bằng tài khoản Facebook Đăng xuất /  Thay đổi )

Connecting to %s