Ausnutzung von Schwachstellen
Erkennen von PrintNightmare Exploit-Versuchen
Wir haben die Implementierungen von PrintNightmare untersucht und zeigen, wie die von live casino online Vision One? und live casino online Cloud One? erm?glichte Transparenz, die Risiken mindern kann.
Save to Folio
Originalbeitrag von Nitesh Surana, Threat Research Engineer
PrintNightmare ist eines der jüngsten Exploit-Sets, das die Print Spooler-Sicherheitslücken (, und?) ausnutzt. Es handelt sich um eine Sicherheitslücke bei der Codeausführung (sowohl remote als auch lokal) im Print Spooler-Dienst, die alle Windows-Versionen betrifft, auf denen der besagte Dienst l?uft. Eine Reihe von Forschern hat Proof of Concepts für mehrere Exploit-Varianten entwickelt, die auf unterschiedlichen Implementierungen (über TCP und Server Message Block oder SMB) basieren. Durch die Verwendung verschiedener Funktionsaufrufe für das Print System Asynchronous Remote Protocol (MS-PAR) und die missbr?uchliche Verwendung von kann PrintNightmare auf Servern und Workstations ausgenutzt werden, w?hrend PrintNightmare durch die missbr?uchliche Verwendung des Print System Remote Protocoll (MS-RPRN) für eine Impacket-Implementierung nutzen kann.
Wir haben die Implementierungen von PrintNightmare untersucht und zeigen, wie die von live casino online Vision One?; und live casino online Cloud One?; erm?glichte Transparenz, die Risiken mindern kann, die durch kritische Lücken in Systemen wie dem Print Spooler Service entstehen. Mithilfe der Indikatoren und Attribute von Angriffsversuchen, die von Netzwerken und Endpunkten geloggt werden, erm?glichen beide Plattformen Sicherheitsteams und Analysten einen umfassenderen Blick auf Angriffsversuche, um sofortige und umsetzbare Reaktionen zu erm?glichen.
Der Ablauf von PrintNightmare und der Patches sieht folgenderma?en aus:
Print Spooler Service
Der erm?glicht Clients und Servern, druckerbezogene Aufgaben auszuführen. Auf einem Druckserver gibt der Spooler Druckwarteschlangen frei, die für Druckclients zug?nglich sind. Auf einem Druckclient stellt der Spooler-Dienst Druck-APIs für Anwendungen bereit, empf?ngt die Druckausgabe einer Anwendung und sendet sie an eine gemeinsame Druckwarteschlange oder einen Druckserver.
Der Dienst hatte schon früher immer wieder mit zu k?mpfen. Eine erfolgreiche Ausnutzung kann zur Codeausführung im Kontext des Systembenutzers führen. Die Schwachstellen drehen sich darum, wie Print Spooler Druckertreiber l?dt. Da der Dienst selbst mit den h?chsten Berechtigungen ausgeführt wird, erfolgt auch die Codeausführung mit den h?chsten Berechtigungen.
Der Certified Information Systems Auditor (CISA) hat darauf , dass diese Schwachstelle von Bedrohungsakteuren aktiv ausgenutzt wird. Da der Angriff netzwerkbasiert ist, kann er auch von anderen Benutzern mit geringeren Systemprivilegien ausgeführt werden, da der Spooler-Dienst auf den meisten Rechnern (wie Dom?nencontrollern und Druckservern) nicht standardm??ig deaktiviert ist. Es ist eine beliebte Technik für die Ausweitung von Privilegien.
Routine
Wir fanden einige Indikatoren für einen m?glichen Missbrauch.
Die missbr?uchliche Nutzung des Spooler Service wie auch die beiden Phasen des Angriffs werden im Originalbeitrag mit allen technischen Einzelheiten beschrieben.
live casino online Cloud One? – Workload Security
Der live casino online Deep Security Agent (DSA) mit seinen Modulen erm?glicht Einsichten in die Workloads und bietet Visibilit?t für die vorherigen Beobachtungen bezüglich des Vorfalls. Wir nutzen die Erkennungen auf umfassende Weise in live casino online Vision One. Der Originalbeitrag veranschaulicht, wie die Erkennungen auf der Plattform erscheinen, sobald sie aktiviert sind. Ebenso beschreibt er, wie die Root Cause-Analyse mithilfe der live casino online Vision One Workbench abl?uft.
Fazit
PrintNightmare begann als ein Wirrwarr aus einzelnen Studien von Sicherheitsforschern, die von unzusammenh?ngenden Enthüllungen bis zur Umgehung offizieller Patches reichten. Proofs of Concept wurden bereits in verschiedenen Frameworks wie dem Metasploit Framework (MSF) und Tools wie Mimikatz berücksichtigt. Darüber hinaus wird die Ausnutzung von PrintNightmare bald zur bevorzugten Methode von Angreifern für Privilegienerweiterung und laterale Bewegungen werden, da der Angriffsvektor sowohl RCE- als auch lokale Privilegienerweiterungsfunktionen enth?lt, keine Benutzerinteraktion erfordert und aus dem Kontext eines wenig privilegierten Benutzers heraus ausgel?st werden kann.
Der Zweck dieses Beitrags ist es, zu beschreiben, wie die erweiterte ?bersicht von live casino online Vision One und live casino online Cloud One Angriffe vereitelt, die solche kritischen Schwachstellen ausnutzen. Wir berücksichtigen Metriken aus dem Netzwerk und von Endpunkten, die auf potenzielle Angriffsversuche hinweisen. Die live casino online Vision One Workbench zeigt einen ganzheitlichen ?berblick über die Aktivit?ten, die in der Umgebung eines Benutzers beobachtet werden, indem sie wichtige Attribute im Zusammenhang mit dem Angriff hervorhebt. Mit der RCA-Funktion kann ein Benutzer die Details des Angriffs Schritt für Schritt untersuchen. Das live casino online Smart Protection Network (SPN) für Threat Intelligence schlie?lich h?lt Ausschau nach aktuellen, hochentwickelten Bedrohungen, die sich auf breiter Front ausbreiten, um die Ressourcen der Benutzer zu schützen.
?