CVE-2021-1675は、Windowsの重大な脆弱性であり、リモートの攻撃者がコードを実行できる可能性のある概念実証が利用可能です。. PoCコードは今週初めにGitHubで共有されました, 数時間以内に降ろされました. でも, これらの数時間は、コードをコピーするのに十分でした.
PrintNightmareの脆弱性
この脆弱性はPrintNightmareと呼ばれています, WindowsPrintSpoolerに存在するため. それは最初に対処されました 先月のパッチ火曜日 重要でない特権の昇格の問題として. でも, TencentおよびNSFOCUSTIANJILabのセキュリティ研究者は、CVE-2021-1675バグが RCE攻撃, ステータスを自動的にクリティカルに変更します:
6月のパッチ火曜日の更新で最初に開示されたとき, これは、特権の脆弱性の昇格が低いと説明されていました. その指定は6月に更新されました 21 重大な重大度とRCEの可能性を示すため. ディスカバリーは、Tencent SecurityXuanwuLabのZhipengHuoにクレジットされました。, AFINEのPiotrMadejとNSFOCUSTIANJILabのYunhaiZhang, によると Tenableの記事.
セキュリティ研究者によると マリウスサンドブ, 「脆弱性自体が可能である理由は, Microsoft Windows Print Spoolerサービスは、RpcAddPrinterDriverExへのアクセスを制限できません() 関数, これにより、リモートで認証された攻撃者が、脆弱なシステムでSYSTEM権限を持つ任意のコードを実行できるようになる可能性があります。」
影響を受けるMicrosoft製品には、Windowsのすべてのオペレーティングシステムが含まれます 7 Windowsへ 10, そしてサーバーからのすべて 2008 サーバーへ 2019, DirkSchraderによると, NewNetTechnologiesのセキュリティ研究担当グローバルバイスプレジデント (NNT), ThreatPostと洞察を共有した人.
CVE-2021-1675悪用
PrintNightmareの脆弱性を悪用すると、リモートの攻撃者が影響を受けるシステムを完全に制御できるようになる可能性があります. スプーラサービスに対して認証されたユーザーを標的にすることにより、リモートでコードが実行される可能性があります.
「認証なし, この欠陥は、特権を高めるために悪用される可能性があります, この脆弱性を攻撃チェーンの貴重なリンクにする,」Tenableが追加されました.
これが研究者によって特定された最初のWindowsPrintSpoolerの問題ではないことは注目に値します. 実際のところ, このサービスには長い脆弱性の歴史があります. 例えば, このような欠陥は、悪名高いStuxnet攻撃に関連していました.
最近の例には、CVE-2020-1337が含まれます, 2020年のブラックハットとDEFCONの間に開示されたゼロデイプリントスプーラー. 欠陥はCVE-2020-1048のパッチバイパスでした, 5月にパッチが適用された別のWindowsPrintSpoolerのバグ 2020.
研究者はまた、利用可能なパッチが完全に効果的ではないかもしれないことに注意します. でも, 他の緩和策が可能です, プリントスプーラーをオフラインにするような. ついに, ほとんどのエンドポイントは、組み込みのWindowsファイアウォールのデフォルトルールを使用したPrintNightmareエクスプロイトに対して安全です。.