CVE-2021-1675 is een kritieke Windows-kwetsbaarheid met een beschikbare proof-of-concept waarmee aanvallers op afstand code kunnen uitvoeren. De PoC-code is eerder deze week gedeeld op GitHub, en binnen een paar uur verwijderd. Echter, deze paar uur waren genoeg om de code te kopiëren.
De PrintNightmare-kwetsbaarheid
De kwetsbaarheid heet PrintNightmare, zoals het bestaat in de Windows Print Spooler. Het werd in eerste instantie behandeld in Patch Tuesday van vorige maand als een onbeduidend misbruik van bevoegdheden. Echter, beveiligingsonderzoekers van Tencent en NSFOCUS TIANJI Lab ontdekten dat de CVE-2021-1675-bug kan worden ingezet voor RCE-aanvallen, automatisch de status wijzigen in kritiek:
Toen het oorspronkelijk werd onthuld in de update van Patch Tuesday van juni, het werd beschreven als een kwetsbaarheid voor misbruik van bevoegdheden met een lage ernst. Die aanduiding is in juni bijgewerkt 21 om een kritieke ernst en het potentieel voor RCE . aan te geven. Discovery werd toegeschreven aan Zhipeng Huo van Tencent Security Xuanwu Lab, Piotr Madej van AFINE en Yunhai Zhang van NSFOCUS TIANJI Lab, volgens Tenable's beschrijving.
Volgens security-onderzoeker Marius Sandbu, “de kwetsbaarheid zelf is mogelijk omdat, De Microsoft Windows Print Spooler-service kan de toegang tot de RpcAddPrinterDriverEx niet beperken restrict() functie, waarmee een op afstand geverifieerde aanvaller willekeurige code kan uitvoeren met SYSTEEM-rechten op een kwetsbaar systeem.”
Getroffen Microsoft-producten omvatten alle besturingssystemen van Windows 7 naar Windows 10, en alles van Server 2008 Naar server 2019, volgens Dirk Schrader, global vice president of security research bij New Net Technologies (NNT), die zijn inzicht deelde met ThreatPost.
CVE-2021-1675 Exploitatie
Exploitatie van de PrintNightmare-kwetsbaarheid kan aanvallers op afstand in staat stellen volledige controle te krijgen over de getroffen systemen. Uitvoering van externe code kan worden bereikt door een gebruiker te targeten die is geverifieerd bij de spooler-service.
“Zonder authenticatie, de fout kan worden misbruikt om privileges te verhogen, waardoor deze kwetsbaarheid een waardevolle schakel in een aanvalsketen wordt,” Tenable toegevoegd.
Het is opmerkelijk dat dit niet het eerste Windows Print Spooler-probleem is dat door onderzoekers is geïdentificeerd identified. In feite, de service heeft een lange geschiedenis van kwetsbaarheden. Bijvoorbeeld, dergelijke fouten werden geassocieerd met de beruchte Stuxnet-aanvallen.
Een recenter voorbeeld is CVE-2020-1337, een zero-day in print spooler onthuld tijdens de Black Hat en DEF CON van 2020. De fout was een patch-bypass voor CVE-2020-1048, nog een Windows Print Spooler-bug gepatcht in mei 2020.
Onderzoekers merken ook op dat de beschikbare patch mogelijk niet volledig effectief is. Echter, andere mitigaties zijn mogelijk, zoals het offline halen van Print Spooler. Eindelijk, de meeste eindpunten zouden veilig zijn tegen de PrintNightmare-exploitatie met de ingebouwde standaardregels van Windows Firewall.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: