Alla fine di giugno, alcuni team di ricerca hanno pubblicato informazioni su una vulnerabilità di esecuzione di codice remoto (RCE) nel Print Spooler di Microsoft Windows, ora nota come CVE-2021-1675. Un utente malintenzionato può sfruttare questa vulnerabilità, soprannominata PrintNightmare, per prendere il controllo di un sistema interessato. Questa vulnerabilità sembra esistere da tempo in Windows e i ricercatori sono riusciti a sviluppare un exploit come Proof of Concept (POC) per partecipare alla Tianfu Cup.
Sappiamo che gli aggressori eseguiranno diverse azioni prima di sfruttare questo exploit che attiveranno i rilevamenti Vectra esistenti. Questi rilevamenti sarebbero associati a comando e controllo come External Remote Access o HTTPS Hidden Tunnel, a tecniche di ricognizione come Port Scan, Port Sweep e Targeted RPC Recon e a movimenti laterali basati su credenziali come Suspicious Remote Execution o Privilege Access Anomaly.
Lo spooler di stampa di Windows ha una lunga storia di vulnerabilità e la sua ubiquità può avere un grave impatto sugli obiettivi. Poiché il POC di questo attacco è ora pubblico e la facilità di implementazione di questo attacco, Vectra ha sviluppato un modello personalizzato per aumentare la nostra copertura esistente ed evidenziare l'uso di questo exploit.
Ottenere una visibilità totale
L'exploit si basa sulla creazione di un nuovo driver di stampante di rete associato a una libreria di collegamento dinamico (DLL) dannosa. Questo significa che possiamo rilevare l'attacco cercando queste due attività distinte e bloccare rapidamente l'attacco.
La prima di queste attività è il comando DCE/RPC che aggiunge la nuova stampante di rete.
RpcAddPrinterDriver
o
RpcAddPrinterDriverEx
Questi comandi, di per sé, possono essere innocui nelle circostanze di creazione di una nuova stampante. Tuttavia, in questi casi l'host che risponde è associato ai sistemi di stampa e l'host di origine è un amministratore che sta creando la stampante.
La seconda attività da ricercare è il caricamento di un file DLL sospetto prima della creazione del nuovo driver di stampa. L'operazione RpcAddPrinterDriver sarà collegata a un file DLL dannoso, che dovrà essere compilato da un attore malintenzionato prima di eseguire l'exploit.
Anticipare le minacce
Per saperne di più su come Vectra può rilevare gli aggressori in tutte le fasi del loro attacco, compreso l'uso di PrintNightmare, non esitate a contattarci o a provare la nostra soluzione gratuitamente per 30 giorni!