Alla fine di giugno, alcuni team di ricerca hanno pubblicato informazioni relative a una vulnerabilità di esecuzione di codice remoto (RCE) in Microsoft Windows Print Spooler, ora nota come CVE-2021-1675. Un malintenzionato può sfruttare questa vulnerabilità, soprannominata PrintNightmare, per assumere il controllo di un sistema compromesso. Questa vulnerabilità sembra esistere in Windows da tempo e i ricercatori sono stati in grado di sviluppare un exploit come Proof of Concept (POC) per partecipare alla Tianfu Cup.
Sappiamo che gli aggressori eseguono diverse azioni prima di sfruttare questa vulnerabilità, che attivano i sistemi di rilevamento esistenti di Vectra. Questi rilevamenti sono associati a comandi e controlli come l'accesso remoto esterno o il tunnel nascosto HTTPS, tecniche di ricognizione come la scansione delle porte, lo sweep delle porte e la ricognizione RPC mirata, nonché movimenti laterali basati sulle credenziali come l'esecuzione remota sospetta o l'anomalia dell'accesso privilegiato.
Windows Print Spooler ha una lunga storia di vulnerabilità e la sua ubiquità può avere un impatto significativo sugli obiettivi. Poiché il POC per questo attacco è ora pubblico e la sua implementazione è semplice, Vectra ha sviluppato un modello personalizzato per aumentare la nostra copertura esistente ed evidenziare l'uso di questo exploit.
Ottieni visibilità totale
L'exploit si basa sulla creazione di un nuovo driver di stampa di rete associato a una libreria di collegamento dinamico (DLL) dannosa. Ciò significa che possiamo rilevare l'attacco cercando queste due attività distinte e bloccarlo rapidamente.
La prima di queste attività è il comando DCE/RPC che aggiunge la nuova stampante di rete.
Aggiungi driver stampante RPC
o
RpcAddPrinterDriverEx
Questi comandi di per sé possono essere innocui nel contesto della creazione di una nuova stampante. Tuttavia, l'host rispondente verrebbe associato ai sistemi di stampa e l'host di origine a un amministratore che stava creando la stampante in tali casi.
La seconda attività distintiva da cercare è il caricamento di un file DLL sospetto prima della creazione del nuovo driver di stampa. L'operazione RpcAddPrinterDriver sarà collegata a un file DLL dannoso, che dovrà essere compilato da un autore di minacce dannose prima di eseguire l'exploit.
Anticipa le minacce
Per ulteriori informazioni su come Vectra è in grado di rilevare gli aggressori in tutte le fasi dell'attacco, compreso l'uso di PrintNightmare, non esitate a contattarci o provate la nostra soluzione gratuitamente per 30 giorni!