Forscher veröffentlichen PoC-Exploit für eine kritische Windows RCE-Schwachstelle

  • Ein Proof-of-Concept (PoC)-Exploit im Zusammenhang mit einer Remotecode-Ausführungsschwachstelle, die den Windows Print Spooler betrifft und Anfang des Monats von Microsoft gepatcht wurde, wurde kurz online veröffentlicht, bevor er entfernt wurde.

    Die als CVE-2021-1675 identifizierte Sicherheitslücke könnte entfernten Angreifern die vollständige Kontrolle über anfällige Systeme ermöglichen. Print Spooler verwaltet den Druckprozess in Windows, einschließlich des Ladens der entsprechenden Druckertreiber und der Planung des Druckauftrags für den Druck, unter anderem.

    Die Schwachstellen im Print Spooler sind nicht zuletzt wegen der großen Angriffsfläche besorgniserregend, sondern auch aufgrund der Tatsache, dass er auf der höchsten Berechtigungsebene läuft und in der Lage ist, dynamisch Binärdateien von Drittanbietern zu laden.

    [Blocked Image: https://thehackernews.com/images/-UHcDw0TZuOc/YMt1nZpazaI/AAAAAAAA4Qs/d1jlOI8xheYWIFx_O8QJFzDxJI5tRuD7ACLcBGAsYHQ/s300-e100/free-ad-8-300.png]

    “Entweder nutzt der Angreifer die Schwachstelle aus, indem er lokal (z. B. Tastatur, Konsole) oder aus der Ferne (z. B. SSH) auf das Zielsystem zugreift; oder der Angreifer verlässt sich auf die Benutzerinteraktion durch eine andere Person, um Aktionen auszuführen, die zum Ausnutzen der Schwachstelle erforderlich sind (z. B. einen legitimen Benutzer zum Öffnen eines bösartigen Dokuments verleiten)”, so Microsoft in seinem Advisory.

    Obwohl die Schwachstelle vom Windows-Hersteller im Rahmen des Patch Tuesday-Updates am 8. Juni 2021 behoben wurde, hat Microsoft am 21. Juni die Auswirkung der Schwachstelle von einer Privilegienerweiterung auf Remotecodeausführung (RCE) revidiert sowie den Schweregrad von Wichtig auf Kritisch heraufgesetzt.

    Die Dinge nahmen eine Wendung, als die chinesische Sicherheitsfirma QiAnXin Anfang dieser Woche bekannt gab, dass sie in der Lage war, die “richtigen Ansätze” zu finden, um die Schwachstelle auszunutzen, und damit eine erfolgreiche Ausnutzung zu demonstrieren, um RCE zu erreichen.

    Obwohl die Forscher keine weiteren technischen Details preisgaben, veröffentlichte das in Hongkong ansässige Cybersicherheitsunternehmen Sangfor einen unabhängigen Deep-Dive derselben Schwachstelle zusammen mit einem vollständig funktionierenden PoC-Code auf GitHub, wo er öffentlich zugänglich blieb, bevor er einige Stunden später offline genommen wurde.

    Sangfor gab der Sicherheitslücke den Codenamen “PrintNightmare”.

    [Blocked Image: https://thehackernews.com/images/-azy2o-jUy8I/YLy9OO3scVI/AAAAAAAA4BY/75hsq3eOBOQsJbLGxKzF4tx3ZGV010RVwCLcBGAsYHQ/s728-e100/ransomware_728.jpg]

    “Wir haben den PoC von PrintNightmare gelöscht. Um diese Schwachstelle zu entschärfen, aktualisieren Sie bitte Windows auf die neueste Version oder deaktivieren Sie den Spooler-Dienst”, twitterte Zhiniang Peng, Principal Security Researcher bei Sangfor. Die Ergebnisse sollen auf der Black Hat USA-Konferenz im nächsten Monat vorgestellt werden.

    Der Windows Print Spooler ist seit langem eine Quelle für Sicherheitslücken, wobei Microsoft allein im vergangenen Jahr mindestens drei Probleme behoben hat – CVE-2020-1048, CVE-2020-1300 und CVE-2020-1337. Bemerkenswerterweise wurde eine Schwachstelle in diesem Dienst auch dazu missbraucht, sich Fernzugriff zu verschaffen und den Stuxnet-Wurm im Jahr 2010 zu verbreiten, der auf iranische Atomanlagen abzielte.

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com