CVE-2021-1675 ist eine kritische Windows-Sicherheitslücke mit einem verfügbaren Machbarkeitsnachweis, die Remote-Angreifern die Ausführung von Code ermöglichen könnte. Der PoC-Code wurde Anfang dieser Woche auf GitHub geteilt, und innerhalb weniger Stunden abgebaut. Jedoch, diese paar Stunden haben gereicht um den Code zu kopieren.
Die PrintNightmare-Sicherheitslücke
Die Schwachstelle heißt PrintNightmare, wie es im Windows-Druckspooler vorhanden ist. Es wurde ursprünglich adressiert in Patch-Dienstag des letzten Monats als unbedeutendes Problem der Rechteerhöhung. Jedoch, Sicherheitsforscher von Tencent und NSFOCUS TIANJI Lab entdeckten, dass der CVE-2021-1675-Bug für RCE-Angriffe, automatisch den Status auf kritisch ändern:
Als es ursprünglich im Juni-Patch-Dienstag-Update bekannt gegeben wurde, Es wurde als Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen mit niedrigem Schweregrad beschrieben. Diese Bezeichnung wurde im Juni aktualisiert 21 um einen kritischen Schweregrad und das Potenzial für RCE anzuzeigen. Die Entdeckung wurde Zhipeng Huo von Tencent Security Xuanwu Lab zugeschrieben, Piotr Madej von AFINE und Yunhai Zhang von NSFOCUS TIANJI Lab, entsprechend Tenables Bericht.
Laut Sicherheitsforscher Marius Sandbu, „Die Schwachstelle selbst ist möglich, weil, Der Microsoft Windows-Druckspoolerdienst kann den Zugriff auf RpcAddPrinterDriverEx nicht einschränken() Funktion, die es einem entfernten authentifizierten Angreifer ermöglichen kann, beliebigen Code mit SYSTEM-Berechtigungen auf einem anfälligen System auszuführen.“
Zu den betroffenen Microsoft-Produkten zählen alle Betriebssysteme von Windows 7 Windows 10, und alles vom Server 2008 zum Server 2019, nach Dirk Schrader, Global Vice President of Security Research bei New Net Technologies (NNT), der seine Erkenntnisse mit ThreatPost geteilt hat.
CVE-2021-1675 Ausbeutung
Die Ausnutzung der PrintNightmare-Sicherheitslücke könnte es Angreifern aus der Ferne ermöglichen, die vollständige Kontrolle über betroffene Systeme zu erlangen. Remote-Codeausführung könnte erreicht werden, indem ein beim Spooler-Dienst authentifizierter Benutzer angesprochen wird.
„Ohne Authentifizierung, der Fehler könnte ausgenutzt werden, um Privilegien zu erhöhen, macht diese Schwachstelle zu einem wertvollen Glied in einer Angriffskette,” Tenable hinzugefügt.
Es ist bemerkenswert, dass dies nicht das erste von Forschern festgestellte Problem mit dem Windows-Druckspooler ist. In der Tat, der Dienst weist eine lange Geschichte von Schwachstellen auf. Beispielsweise, solche Fehler wurden mit den berüchtigten Stuxnet-Angriffen in Verbindung gebracht.
Ein neueres Beispiel ist CVE-2020-1337, ein Zero-Day-Druck-Spooler, der während der Black Hat und DEF CON im Jahr 2020 bekannt gegeben wurde. Der Fehler war ein Patch-Bypass für CVE-2020-1048, ein weiterer Fehler im Windows Print Spooler, der im Mai gepatcht wurde 2020.
Forscher stellen auch fest, dass das verfügbare Pflaster möglicherweise nicht vollständig wirksam ist. Jedoch, andere Abschwächungen sind möglich, wie wenn Sie Print Spooler offline nehmen. Schließlich, Die meisten Endpunkte wären mit den integrierten Standardregeln der Windows-Firewall vor dem PrintNightmare-Exploit geschützt.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: