PrintNightmare (CVE-2021-34527) là một lỗ hổng cho phép kẻ tấn công leo thang quyền quản trị từ tài khoản người dùng thông thường thôn qua máy chủ chạy dịch vụ Windows Print Spooler. Dịch vụ này chạy trên tất cả các máy chủ và máy khách Windows theo mặc định, bao gồm cả bộ điều khiển miền, trong môi trường Active Directory. Print Spooler, được bật theo mặc định trên Microsoft Windows, là một tệp thực thi chịu trách nhiệm quản lý tất cả các lệnh in được gửi đến máy in máy tính hoặc máy chủ in.
Một nhóm các nhà nghiên cứu bảo mật từ Sangfor đã phát hiện ra lỗi zeroday này. Trong một tweet họ có nói, “Chúng tôi đã xóa POC của PrintNightmare. Để giảm thiểu rũi ro từ lỗ hổng này, vui lòng cập nhật Windows lên phiên bản mới nhất hoặc tắt dịch vụ Bộ đệm. Để biết thêm RCE và LPE trong Spooler, hãy chú ý theo dõi và chờ buổi trò chuyện Blackhat của chúng tôi. ” Kho lưu trữ GitHub đã được đưa vào ngoại tuyến sau một vài giờ, nhưng không phải trước khi nó được nhân bản bởi một số người dùng khác.
Để phát hiện CVE, quá trình thực thi PrintNightmare tìm kiếm kernelbase.dll, unidrv.dll cùng với bất kỳ DLL khác được viết vào các thư mục con của C: \ Windows \ System32 \ spool \ drivers \ trong cùng một khung thời gian bởi spoolsv.exe . Đường dẫn trình điều khiển máy in được mã hóa cứng không cần thiết vì người ta có thể sử dụng EnumPrinterDrivers () để tìm đường dẫn cho UNIDRV.DLL.
Vào ngày 1 tháng 7 năm 2021, MS đã thêm CVE-2021-34527 và gán nó cho PrintNightmare.
CẬP NHẬT:
Như một bản cập nhật trên PrintNightmare ngày 1 tháng 7 năm 2021, Microsoft đã phát hành một update riêng liên kết zero-day này với CVE-2021-34527 dưới dạng Thực thi mã từ xa (RCE) đã được xác nhận. Theo bản vá mới mới, đánh giá khả năng khai thác cho thấy PoC được tiết lộ công khai cũng như bị khai thác tích cực trong tự nhiên. Hơn nữa, nó tóm tắt “Một cuộc tấn công phải liên quan đến một người dùng được xác thực gọi RpcAddPrinterDriverEx (). ”
Lỗ hổng này có liên quan đến CVE-2021-1675 không?
Lỗ hổng này tương tự nhưng khác với lỗ hổng được gán CVE-2021-1675, lỗ hổng này giải quyết một lỗ hổng khác trong RpcAddPrinterDriverEx (). Véc tơ tấn công cũng khác. CVE-2021-1675 đã được giải quyết bằng bản cập nhật bảo mật tháng 6 năm 2021.
Nguồn ảnh: Hacker Fantastic
Sản phẩm bị ảnh hưởng
Tất cả các máy chủ và máy khách Windows, bao gồm cả bộ điều khiển miền Domain Controller.
Giảm nhẹ
Trên Microsoft Windows, tắt dịch vụ “Print Spooler” trên các máy chủ không yêu cầu.
Khách hàng tuân thủ chính sách của Qualys có thể tận dụng CID 1368 để dễ dàng xác định nội dung đã bật cài đặt này.
Cách giải quyết
Trong tư thông báo mới nhất về CVE-2021-34527, gã khổng lồ hệ điều hành đã đưa ra một số giải pháp thay thế sẽ được áp dụng.
Xác định xem dịch vụ Print Spooler có đang chạy không (chạy với tư cách Quản trị viên miền)
Chạy những điều sau với tư cách là Quản trị viên miền:
Get-Service -Name Spooler
Nếu Bộ đệm in đang chạy hoặc nếu dịch vụ không được đặt thành tắt, hãy chọn một trong các tùy chọn sau để tắt dịch vụ Bộ đệm in hoặc Tắt tính năng in từ xa đến thông qua Chính sách Nhóm :
- Tùy chọn 1 – Tắt dịch vụ Print Spooler
Nếu việc tắt dịch vụ Print Spooler phù hợp với doanh nghiệp của bạn, hãy sử dụng các lệnh PowerShell sau:
Stop-Service -Name Spooler -Force
Set-Service -Name Spooler -StartupType đã bị vô hiệu hóa
Tác động của cách giải quyết Việc vô hiệu hóa dịch vụ Print Spooler sẽ vô hiệu hóa khả năng in cả cục bộ và từ xa.
- Tùy chọn 2 – Tắt tính năng in từ xa đến thông qua Chính sách Nhóm
Bạn cũng có thể định cấu hình cài đặt thông qua Group Policy như sau:
Tắt chính sách “Cho phép Print Spooler chấp nhận các kết nối máy khách:” để chặn các cuộc tấn công từ xa.
Tác động của giải pháp thay thế Chính sách này sẽ chặn vectơ tấn công từ xa bằng cách ngăn các hoạt động in từ xa đến. Hệ thống sẽ không còn hoạt động như một máy chủ in, nhưng vẫn có thể in cục bộ tới thiết bị được gắn trực tiếp.
Phát hiện bằng Qualys
Khách hàng của Qualys có thể quét mạng của họ với QID 91785 để phát hiện các tài sản dễ bị tấn công.
Vui lòng tiếp tục theo dõi Qualys Threat Protection để biết thêm thông tin về các lỗ hổng bảo mật mới nhất.
Tài liệu tham khảo và Nguồn
https://github.com/cube0x0/CVE-2021-1675
https://github.com/afwu/PrintNightmare
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-1675
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527
Minh họa khai thác CVE-2021-1675 có trình bày trong khóa học CEH v11 và PENTEST +
Trả lời