Originalbeitrag von Nitesh Surana, Threat Research Engineer
PrintNightmare ist eines der jüngsten Exploit-Sets, das die Print Spooler-Sicherheitslücken (CVE-2021-1675,CVE-2021-34527 und CVE-2021-34481) ausnutzt. Es handelt sich um eine Sicherheitslücke bei der Codeausführung (sowohl remote als auch lokal) im Print Spooler-Dienst, die alle Windows-Versionen betrifft, auf denen der besagte Dienst läuft. Eine Reihe von Forschern hat Proof of Concepts für mehrere Exploit-Varianten entwickelt, die auf unterschiedlichen Implementierungen (über TCP und Server Message Block oder SMB) basieren. Durch die Verwendung verschiedener Funktionsaufrufe für das Print System Asynchronous Remote Protocol (MS-PAR) und die missbräuchliche Verwendung von RpcAsyncAddPrinterDriver kann PrintNightmare auf Servern und Workstations ausgenutzt werden, während PrintNightmare durch die missbräuchliche Verwendung des Print System Remote Protocoll (MS-RPRN) RpcAddPrinterDriverEx für eine Impacket-Implementierung nutzen kann.
Wir haben die Implementierungen von PrintNightmare untersucht und zeigen, wie die von Trend Micro Vision One™; und Trend Micro Cloud One™; ermöglichte Transparenz, die Risiken mindern kann, die durch kritische Lücken in Systemen wie dem Print Spooler Service entstehen. Mithilfe der Indikatoren und Attribute von Angriffsversuchen, die von Netzwerken und Endpunkten geloggt werden, ermöglichen beide Plattformen Sicherheitsteams und Analysten einen umfassenderen Blick auf Angriffsversuche, um sofortige und umsetzbare Reaktionen zu ermöglichen.
Der Ablauf von PrintNightmare und der Patches sieht folgendermaßen aus:
Print Spooler Service
Der Print Spooler Service ermöglicht Clients und Servern, druckerbezogene Aufgaben auszuführen. Auf einem Druckserver gibt der Spooler Druckwarteschlangen frei, die für Druckclients zugänglich sind. Auf einem Druckclient stellt der Spooler-Dienst Druck-APIs für Anwendungen bereit, empfängt die Druckausgabe einer Anwendung und sendet sie an eine gemeinsame Druckwarteschlange oder einen Druckserver.
Der Dienst hatte schon früher immer wieder mit Schwachstellen zu kämpfen. Eine erfolgreiche Ausnutzung kann zur Codeausführung im Kontext des Systembenutzers führen. Die Schwachstellen drehen sich darum, wie Print Spooler Druckertreiber lädt. Da der Dienst selbst mit den höchsten Berechtigungen ausgeführt wird, erfolgt auch die Codeausführung mit den höchsten Berechtigungen.
Der Certified Information Systems Auditor (CISA) hat darauf hingewiesen, dass diese Schwachstelle von Bedrohungsakteuren aktiv ausgenutzt wird. Da der Angriff netzwerkbasiert ist, kann er auch von anderen Benutzern mit geringeren Systemprivilegien ausgeführt werden, da der Spooler-Dienst auf den meisten Rechnern (wie Domänencontrollern und Druckservern) nicht standardmäßig deaktiviert ist. Es ist eine beliebte Technik für die Ausweitung von Privilegien.
Routine
Wir fanden einige Indikatoren für einen möglichen Missbrauch.
Die missbräuchliche Nutzung des Spooler Service wie auch die beiden Phasen des Angriffs werden im Originalbeitrag mit allen technischen Einzelheiten beschrieben.
Trend Micro Cloud One™ – Workload Security
Der Trend Micro Deep Security Agent (DSA) mit seinen Modulen ermöglicht Einsichten in die Workloads und bietet Visibilität für die vorherigen Beobachtungen bezüglich des Vorfalls. Wir nutzen die Erkennungen auf umfassende Weise in Trend Micro Vision One. Der Originalbeitrag veranschaulicht, wie die Erkennungen auf der Plattform erscheinen, sobald sie aktiviert sind. Ebenso beschreibt er, wie die Root Cause-Analyse mithilfe der Trend Micro Vision One Workbench abläuft.
Fazit
PrintNightmare begann als ein Wirrwarr aus einzelnen Studien von Sicherheitsforschern, die von unzusammenhängenden Enthüllungen bis zur Umgehung offizieller Patches reichten. Proofs of Concept wurden bereits in verschiedenen Frameworks wie dem Metasploit Framework (MSF) und Tools wie Mimikatz berücksichtigt. Darüber hinaus wird die Ausnutzung von PrintNightmare bald zur bevorzugten Methode von Angreifern für Privilegienerweiterung und laterale Bewegungen werden, da der Angriffsvektor sowohl RCE- als auch lokale Privilegienerweiterungsfunktionen enthält, keine Benutzerinteraktion erfordert und aus dem Kontext eines wenig privilegierten Benutzers heraus ausgelöst werden kann.
Der Zweck dieses Beitrags ist es, zu beschreiben, wie die erweiterte Übersicht von Trend Micro Vision One und Trend Micro Cloud One Angriffe vereitelt, die solche kritischen Schwachstellen ausnutzen. Wir berücksichtigen Metriken aus dem Netzwerk und von Endpunkten, die auf potenzielle Angriffsversuche hinweisen. Die Trend Micro Vision One Workbench zeigt einen ganzheitlichen Überblick über die Aktivitäten, die in der Umgebung eines Benutzers beobachtet werden, indem sie wichtige Attribute im Zusammenhang mit dem Angriff hervorhebt. Mit der RCA-Funktion kann ein Benutzer die Details des Angriffs Schritt für Schritt untersuchen. Das Trend Micro Smart Protection Network (SPN) für Threat Intelligence schließlich hält Ausschau nach aktuellen, hochentwickelten Bedrohungen, die sich auf breiter Front ausbreiten, um die Ressourcen der Benutzer zu schützen.