À la fin du mois de juin, des équipes de recherche ont publié des informations sur une vulnérabilité d'exécution de code à distance (RCE) dans Microsoft Windows Print Spooler, désormais connue sous le nom de CVE-2021-1675. Un attaquant peut exploiter cette vulnérabilité - surnommée PrintNightmare - pour prendre le contrôle d'un système affecté. Cette vulnérabilité semble exister dans Windows depuis un certain temps, et les chercheurs ont été en mesure de développer un exploit comme preuve de concept (POC) afin de participer à la Coupe Tianfu.
Nous savons que les attaquants effectueront plusieurs actions avant de tirer parti de cet exploit, ce qui déclenchera les détections existantes sur Vectra . Ces détections seraient associées à la commande et au contrôle comme l'accès à distance externe ou le tunnel caché HTTPS, aux techniques de reconnaissance comme le balayage de port, le balayage de port et la reconnaissance RPC ciblée, et au mouvement latéral basé sur les informations d'identification comme l'exécution à distance suspecte ou l'anomalie d'accès aux privilèges.
Le Print Spooler de Windows a une longue histoire de vulnérabilités, et son omniprésence peut avoir un impact sérieux sur les cibles. Étant donné que le POC de cette attaque est désormais public et qu'elle est facile à déployer, Vectra a développé un modèle personnalisé pour compléter notre couverture existante et mettre en évidence l'utilisation de cet exploit.
Obtenir une visibilité totale
L'exploit repose sur la création d'un nouveau pilote d'imprimante réseau associé à une bibliothèque de liens dynamiques (DLL) malveillante. Cela signifie que nous pouvons détecter l'attaque en recherchant ces deux activités distinctes et l'arrêter rapidement.
La première de ces activités est la commande DCE/RPC qui ajoute la nouvelle imprimante réseau.
RpcAddPrinterDriver
ou
RpcAddPrinterDriverEx
Ces commandes en elles-mêmes peuvent être bénignes dans les circonstances de la création d'une nouvelle imprimante. Cependant, l'hôte qui répond serait associé aux systèmes d'impression, et l'hôte d'origine serait un administrateur qui crée l'imprimante dans de tels cas.
La deuxième activité distincte à rechercher est le téléchargement d'un fichier DLL suspect avant la création du nouveau pilote d'imprimante. L'opération RpcAddPrinterDriver sera liée à un fichier DLL malveillant, qui devra être compilé par un acteur de menace malveillant avant d'exécuter l'exploit.
Garder une longueur d'avance sur les menaces
Pour en savoir plus sur la façon dont Vectra peut détecter les attaquants à tous les stades de leur attaque, y compris l'utilisation de PrintNightmare, n'hésitez pas à nous contacter ou à essayer notre solution gratuitement pendant 30 jours !