Bir araştırmacı, bir yazıcı sürücüsü yükleyerek bir bilgisayar üzerinden tam kontrol kazanmak için herhangi bir Windows kullanıcısının sınırlı ayrıcalıklarına sahip bir uzak baskı sunucusu oluşturdu.
Haziran ayında, bir güvenlik araştırmacısı yanlışlıkla, uzaktan kod yürütülmesine ve ayrıcalıkların yükseltilmesine izin veren BasitNightMare (CVE-2021-34527) olarak bilinen sıfır gün bir Windows yazdırma biriktirme güvenlik açığını ortaya koydu.
Microsoft, güvenlik açığını düzeltmek için bir güvenlik güncelleştirmesi yayınlarken, araştırmacılar, belirli koşullar altında yamayı atlamanın yollarını hızla çözdüler.
O zamandan beri, araştırmacılar güvenlik açığından yararlanmada yeni yollar geliştirmeye devam etmişlerdir, bir araştırmacı, bir araştırmacı, kimsenin idari ayrıcalıklara sahip bir komut istemini açmasını sağlayan bir internetten erişilebilir bir baskı sunucusu oluşturur.
Güvenlik Araştırmacısı ve Mimikatz Creator Benjamin Delpy, özel hazırlanmış yazıcı sürücüleri aracılığıyla ve Windows API'leri kötüye ederek, birden fazla bypass'ları ve güncellemeleri serbest bırakarak, PripnightMare araştırmalarının devam etmesinin ön saflarında yer aldı.
Araştırmasını göstermek için, Delpy, \\ printnightmare'de [.] Gentilkiwi [.] COM bir yazıcı sürücüsü yükleyen ve sistem ayrıcalıklarıyla bir DLL başlatan internet erişilebilir bir baskı sunucusu yarattı.
Başlangıçta, başlatılan DLL, yalnızca yüksek ayrıcalıkları olan kullanıcılar tarafından yazılabilir olması gereken C: \ Windows \ System32 klasörüne bir günlük dosyası yazar.
#Printnightmare (EP 4.x) kullanıcı sistemini bir hizmet olarak test etmek ister misiniz? (Sadece POC, System32'ye bir günlük dosyası yazacaktır) \\ https: //t.co/6pk2unoxag ile bağlanın - Kullanıcı:. \ gentilguest - Şifre: Şifre 'Kiwi Legit Yazıcı - X64', ardından 'Kiwi Legit Yazıcı - X64 (başka bir)' pic.twitter.com/zhx3aq9ppm
Bazı insanlar ilk baskı sürücüsünün ayrıcalıkları yükseltebildiğine inanmadığı için, Salı günü, Delpy, bir sistem komut istemini başlatmak için sürücüyü değiştirdi.
Bu yeni yöntem etkili bir şekilde, tehdit aktörleri de dahil olmak üzere herkese, uzak baskı sürücüsünü yükleyerek idari ayrıcalıkları yükseltmek için herkese izin verir. Makinede idari haklar kazandıktan sonra, herhangi bir komutu çalıştırabilir, kullanıcılar ekleyebilir veya herhangi bir yazılımı yükleyebilir, etkin bir şekilde sistem üzerinde tam kontrol sağlar.
Bu teknik, özellikle bir ağ üzerinden yayılmalarını sağlayan bir cihazdaki idari ayrıcalıklara hızlı ve kolay erişime izin verdiği için fidye yazılımının dağıtılması için ağları ihlal eden tehdit aktörleri için özellikle yararlıdır.
BleepingComputer, bu tekniği test etmek için 'Standart' (Sınırlı) ayrıcalıklarına sahip bir kullanıcı olarak Delpy'nin yazdırma sürücüsünü tamamen yamalı bir Windows 10 21H1 PC'ye yükledi.
Gördüğünüz gibi, yazıcıyı ve engelli Windows Defender'ı yükledikten sonra, kötü amaçlı yazıcıyı algıladığımızda, bize bilgisayarda tam sistem ayrıcalıkları veren bir komut istemi açıldı.
Tehdit aktörlerinin baskı sunucusunu kötüye kullandığından endişe duyuyorsa, delilere sorduğumuzda, yarattığı sürüş nedenlerinden birinin hatayı düzeltmesi için "Microsoft'a" baskı yapmak olduğunu söyledi.
Ayrıca, IP adreslerinin araştırmacılara veya tehdit aktörlerine ait olduğunu belirlemenin imkansız olduğunu söyledi. Ancak, baskı sunucularını kötüye kullandığı ortaya çıkan güvenlik duvarı olan Rus IP adresleri var.
Bir Windows cihazında sistem düzeyinde ayrıcalıkları almak için bu uzak baskı sunucusunu internette suistimal edebileceği gibi, Delpy, kırılganlığı azaltmak için birkaç yol sundu.
Bu yöntemler, CERT / CC için güvenlik açığı analisti olan Dormann, Will Dormann tarafından yazılmış bir Cert Danışmanında belirtilmiştir.
Tüm PrintNightMare güvenlik açıklarının önlenmesinin en aşırı yolu, aşağıdaki komutları kullanarak Windows Yazdırma Biriktiricisini devre dışı bırakmaktır.
Bununla birlikte, bu azaltmayı kullanmak, bilgisayarın yazdırılmasını engelleyecektir.
Delpy'nin kamu istismarı bir uzak baskı sunucusu kullandığından, tüm RPC Endpoint Mapper (135 / TCP) ve SMB (139 / TCP ve 445 / TCP) trafiğini ağ sınırınızda engellemelisiniz.
Bununla birlikte, Dormann, bu protokollerin engellenmesi, mevcut işlevselliğin artık beklendiği gibi çalışmasına neden olabileceği konusunda uyarır.
DORANN, "Bu bağlantı noktalarının bir Windows sistemindeki blokajın, özellikle sunucu olarak işlev gören bir sistemde," bir sunucu olarak işlev gören bir sistemde, beklenen özelliklerin düzgün şekilde çalışmasını önleyeceğini unutmayın.
Uzak bir sunucunun bu güvenlik açığından yararlanmasını engellemenin en iyi yolu, 'Paket Noktası ve Yazdırma - Onaylanan Sunucular' Grup İlkesi'ni kullanarak onaylanmış sunucuların bir listesine işaret ve yazdırma işlevselliğini kısıtlamaktır.
Bu politika, İdari olmayan kullanıcıların, baskı sunucusu onaylanmış listede olmadığı sürece, Noktayı ve Yazdır'ı kullanarak yazdırma sürücülerini yüklemesini önler.
Bu grup politikasını kullanmak, bilinen istismarına karşı en iyi korumayı sağlayacaktır, ancak bir tehdit aktörünün, kötü amaçlı sürücülerle izin verilen bir baskı sunucusunu devralmasını engellemeyecektir.
Delpy, bu, özellikle siyah şapka ve def con güvenlik konferanslarında bu hafta ortaya çıkan yeni araştırmalarla, Windows Print Spooler kötüye kullanımının sonu olmadığını uyardı.
Windows Güvenlik Güncellemesi KB5004945 Zebra Yazıcılarına Yazdırmayı Bırakır
Microsoft'un eksik printnightMare yaması güvenlik açığını düzeltemez
Windows 10'da Yazdırma Biriktirici Güvenlik Açığı Nasıl Alaşılır?
Yeni Windows 10 KB5005394 Acil Güncelleme Baskı Sorunları Düzeltmesi
Windows 10 Temmuz Güvenlik Güncellemeleri Bazı Sistemlerde Yazdırmayı Yazdır
Kaynak: Bleeping Computer