Exploração PoC (0day) circulando para bug crítico do spooler de impressão do Windows
O bug “PrintNightmare” pode não ter sido totalmente corrigido, alertam alguns especialistas, deixando a porta aberta para ataques generalizados de execução remota de código.
Uma prova de conceito para uma vulnerabilidade crítica de segurança do Windows que permite a execução remota de código (RCE) foi descartada no GitHub na terça-feira – e embora tenha sido retirada do ar em algumas horas, o código foi copiado e ainda está circulando no a plataforma.
O bug ( CVE-2021-1675 ) existe no Windows Print Spooler e foi apelidado de “PrintNightmare” pelos pesquisadores. Ela foi originalmente tratada nas atualizações de junho da Microsoft como uma pequena vulnerabilidade de elevação de privilégio, mas a lista foi atualizada na semana passada depois que pesquisadores da Tencent e NSFOCUS TIANJI Lab descobriram que ela poderia ser usada para RCE. O patch, de acordo com muitos, parece falhar no aspecto no bug de RCE.
“Existem 40 entradas na lista de produtos afetados da Microsoft, do Windows 7 ao Windows 10 e do Server 2008 ao Server 2019”, disse Dirk Schrader, vice-presidente global de pesquisa de segurança da New Net Technologies (NNT), agora parte da Netwrix.
Post da ameaça: “Dada essa ampla superfície, é provável que essa vulnerabilidade se torne um elemento na cadeia de ferramentas das famílias de malware atuais.”
No domingo, a equipe de segurança QiAnXin tweetou um vídeo mostrando um RCE bem-sucedido – mas não conteve todos os detalhes técnicos ou PoC. Dois dias depois, no entanto, um PoC completo com uma análise técnica completa apareceu no GitHub, de autoria de outra empresa de segurança, a Sangfor.
Deve-se notar que algumas fontes também estão dizendo que o patch existente da Microsoft não corrige a versão RCE. A implementação do Cube0x0’a impacket acima, por exemplo, funciona em uma máquina Windows totalmente corrigida, disseram os autores .
“Ainda estamos avaliando a eficácia do patch, mas há vários relatórios indicando que o código de prova de conceito funciona contra sistemas totalmente corrigidos”, disse Dustin Childs, da Zero Day Initiative da Trend Micro, ao Threatpost. “Isso indica que o patch lançado em junho não resolve completamente a causa raiz do bug. De qualquer forma, as empresas devem tratar isso como uma correção incompleta e implementar outras soluções alternativas, como desativar o spooler de impressão e bloquear as portas TCP 135 e 445 no perímetro. ”
“Numerosas fontes afirmam que a vulnerabilidade PrintNightmare não é CVE-2021-1675, indicando que o patch mais recente do Windows não protegerá contra a vulnerabilidade”, disse ele. “Para se certificar de que seu ambiente está protegido contra esta vulnerabilidade, os usuários devem desabilitar o serviço Spooler em seu ambiente, se possível.”
Enquanto isso, os pesquisadores do Rapid7 observaram que “confirmaram que as explorações públicas funcionam contra instalações do Windows Server 2019 totalmente corrigidas”.
PrintNightmare: Full Remote Takeover
A exploração bem-sucedida do CVE-2021-1675 pode abrir a porta para a completa tomada de controle do sistema por adversários remotos. No entanto, para isso, é necessário que um usuário-alvo seja autenticado no serviço Spooler.
“Esta vulnerabilidade pode fornecer acesso de domínio total a um controlador de domínio em um contexto de SISTEMA”, Marius Sandbu, líder da guilda para nuvem pública na TietoEVRY, acrescentou em um artigo de quarta – feira, “Para poder usar este exploit, é necessário que você se autentique como um usuário de domínio. ”
Tillis, da Tenable, acrescentou: “Com base nas informações disponíveis, um invasor com uma conta de usuário de baixo nível pode explorar esta vulnerabilidade … e se deslocar para outras áreas da rede alvo. A conta de baixo nível pode ser obtida por meio de uma vulnerabilidade adicional ou até mesmo de um ataque de phishing. ”
“A vulnerabilidade PrintNightmare pode ser utilizada para realizar escalonamento de privilégios locais e execução remota de código em ambientes Windows por meio do serviço Spooler, explorando a chamada RpcAddPrinterDriver, permitindo que uma DLL arbitrária seja carregada no sistema remoto ou como um usuário escalado”, Automox – Garber contou ao Threatpost. “Para explorar a parte da vulnerabilidade de execução remota de código, é necessário que um usuário se autentique no serviço Spooler no sistema de destino. Considerando que é comum ter o serviço Spooler habilitado na maioria dos sistemas Windows em um ambiente de domínio padrão, essa vulnerabilidade é muito perigosa e pode permitir que um invasor obtenha facilmente a execução remota de código por meio do ambiente Windows com um único conjunto de credenciais. ”
A Microsoft atualizou seu comunicado para observar o potencial para RCE, mas não atualizou a classificação CVSS, apesar de observar que a exploração exigiria “baixa complexidade”. Por sua vez, os pesquisadores estão tratando o PrintNightmare como tendo um status “crítico”.
“É interessante notar que a Microsoft não alterou a classificação do CVSS quando revisou seu comunicado para indicar que isso poderia levar à execução remota de código”, disse Childs, acrescentando que o bug agora é “bastante grave”. Ele acrescentou: “Eu trataria isso como um bug de classificação crítica”.
“Sem autenticação, a falha pode ser explorada para elevar privilégios, tornando esta vulnerabilidade um elo valioso em uma cadeia de ataque”, observou Tillis.
A equipe da Sangfor (pesquisadores Zhiniang Peng e Xuefeng Li) disse em sua postagem no GitHub (a versão copiada está aqui ) que no ambiente do controlador de domínio (DC), o serviço Print Spooler está normalmente habilitado, então o comprometimento de qualquer usuário DC pode provavelmente resultará em RCE.
Mais erros e explorações do spooler de impressão em breve
Eles também alegaram ter encontrado “mais bombas escondidas” no Print Spooler, que planejam revelar na Black Hat em agosto.
