PoC-Exploit für kritischen Windows-Druckspooler-Fehler im Umlauf

  • Einige Experten warnen, dass der “PrintNightmare”-Bug möglicherweise nicht vollständig gepatcht ist und damit die Tür für weit verbreitete Angriffe zur Remote-Code-Ausführung offen steht.

    Ein Proof-of-Concept für eine kritische Windows-Sicherheitslücke, die Remote Code Execution (RCE) ermöglicht, wurde am Dienstag auf GitHub veröffentlicht – und obwohl es innerhalb weniger Stunden wieder heruntergenommen wurde, wurde der Code kopiert und zirkuliert immer noch auf der Plattform.

    Der Fehler (CVE-2021-1675) existiert im Windows Print Spooler und wurde von den Forschern als “PrintNightmare” betitelt. Ursprünglich wurde er in den Patch Tuesday-Updates von Microsoft im Juni als geringfügige “Elevation-of-Privilege”-Schwachstelle behandelt, aber die Auflistung wurde letzte Woche auf den Status “kritisch” aktualisiert, nachdem Forscher von Tencent und NSFOCUS TIANJI Lab herausgefunden hatten, dass er für RCE verwendet werden könnte.

    Am Sonntag twitterte das QiAnXin-Sicherheitsteam ein Video, das einen erfolgreichen RCE zeigt – aber es hielt sich mit technischen oder PoC-Details zurück. Zwei Tage später erschien jedoch ein vollständiger PoC mit einer kompletten technischen Analyse auf GitHub, verfasst von einer anderen Sicherheitsfirma, Sangfor.

    Claire Tills, Senior Security Engineer bei Tenable, die das PoC-Posting entdeckten, bemerkte, dass “das GitHub-Repository lange genug öffentlich zugänglich war, damit andere es klonen konnten. Der PoC ist wahrscheinlich immer noch im Umlauf und wird wahrscheinlich wieder öffentlich auftauchen, wenn er das nicht schon getan hat.”

    Und in der Tat, laut einem Sicherheitsexperten, wurde der Code erfolgreich auf eine andere Seite geforkt.

    Sieht aus, als ob der ursprüngliche PoC für PrintNightmare (CVE-2021-1675) gelöscht wurde, aber jemand hat ihn seit https://t.co/8MiP62SlzC geforkt.

    – Andy Gill (@ZephrFish) 29. Juni 2021

    Am Mittwoch twitterten andere Forscher Videos und weitere Analysen, die für eine erfolgreiche Ausnutzung verwendet werden könnten, als sich der PoC herumsprach.

    Impacket-Implementierung von CVE-2021-1675 🔥https://t.co/UpKOueij4c

    – Cube0x0 (@cube0x0) June 29, 2021

    PrintNightmare: Vollständige Fernübernahme

    Eine erfolgreiche Ausnutzung von CVE-2021-1675 könnte die Tür zu einer vollständigen Systemübernahme durch entfernte Angreifer öffnen. Um dies zu erreichen, muss jedoch ein anvisierter Benutzer am Spooler-Dienst authentifiziert werden.

    “Diese Schwachstelle kann den vollständigen Zugriff auf einen Domain Controller unter einem Systemkontext ermöglichen”, sagte Marius Sandbu, Gildenleiter für Public Cloud bei TietoEVRY, in einem Schreiben vom Mittwoch. “Um diesen Exploit nutzen zu können, ist es erforderlich, sich als Domänenbenutzer zu authentifizieren.”

    [Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2021/06/30111452/PoC-PrintNightmare.png]

    Der Sangfor PoC wurde auf GitHib gefunden.

    “Ohne Authentifizierung könnte die Schwachstelle ausgenutzt werden, um die Privilegien zu erhöhen, was diese Schwachstelle zu einem wertvollen Glied in einer Angriffskette macht”, so Tillis.

    Das Team von Sangfor (die Forscher Zhiniang Peng und Xuefeng Li) erklärten in ihrem GitHub-Posting (die kopierte Version finden Sie hier), dass in der Domain Controller (DC)-Umgebung der Print Spooler-Dienst normalerweise aktiviert ist, sodass die Kompromittierung eines beliebigen DC-Benutzers wahrscheinlich zu einem RCE führen könnte.

    Es sollte beachtet werden, dass einige Quellen auch sagen, dass der vorhandene Microsoft-Patch die RCE-Version nicht behebt. Die Implementierung des Cube0x0-Impackets funktioniert auf einem vollständig gepatchten Windows-Rechner, so die Autoren. Threatpost hat bei den Sicherheitsforschern nachgefragt und wird diesen Beitrag entsprechend aktualisieren.

    “Es sollte angemerkt werden, dass die meisten Endpunkte mit den eingebauten Standardregeln der Windows Firewall vor diesem Angriff sicher sind”, so Sandbu.

    Weitere Print Spooler Bugs und Exploits in Kürze verfügbar

    Sie behaupteten auch, “weitere versteckte Bomben” im Print Spooler gefunden zu haben, die sie auf der Black Hat im August enthüllen wollen.

    “Windows Print Spooler hat eine lange Geschichte von Schwachstellen und seine Allgegenwärtigkeit kann schwerwiegende Auswirkungen auf Ziele ermöglichen”, so Tillis in dem Tenable-Schreiben vom Dienstag. “Am bemerkenswertesten ist, dass Print Spooler-Schwachstellen mit den Stuxnet-Angriffen vor über einem Jahrzehnt in Verbindung gebracht wurden. In jüngerer Zeit war CVE-2020-1337 ein Zero-Day in Print Spooler, der auf den letztjährigen Black Hat- und DEF CON-Veranstaltungen bekannt gegeben wurde und zufällig eine Patch-Umgehung für CVE-2020-1048 war, eine weitere Windows Print Spooler-Schwachstelle, die im Mai 2020 gepatcht wurde.”

    Nehmen Sie an Threatposts “Tipps und Taktiken für eine bessere Bedrohungsjagd” teil – einer LIVE-Veranstaltung am Mi., 30. Juni um 14:00 Uhr ET in Zusammenarbeit mit Palo Alto Networks. Erfahren Sie von den Experten der Unit 42 von Palo Alto, wie Sie Bedrohungen am besten aufspüren und wie Sie die Automatisierung zur Unterstützung nutzen können. Registrieren Sie sich HIER kostenlos!

    Einige Teile dieses Artikels stammen aus:
    threatpost.com