www.belgium.be Logo of the federal government

POC VRIJGEGEVEN VOOR WINDOWS PRINT SPOOLER - PRINTNIGHTMARE (CVE-2021-1675)

Alert
PrintNightmare

UPDATE 2021-07-01

Nieuw onderzoek heeft uitgewezen dat de patch die Microsoft op 8 juni 20212 heeft uitgebracht het probleem slechts gedeeltelijk oplost en dat het probleem ernstiger is dan aanvankelijk werd gedacht6,7. De patch biedt geen oplossing voor een kwetsbaarheid in verband met Remote Code Execution (RCE), die in het eerste onderzoek niet werd ontdekt, en intussen is er nieuwe exploitcode beschikbaar die van deze kwetsbaarheid misbruik maakt. Aangezien er momenteel geen patch bestaat die het RCE-lek aanpakt, en er Proof-of-Concept code voor dit lek beschikbaar is, wordt dit lek als een zero-day-kwetsbaarheid beschouwd.

Raadpleeg het hoofdstuk Betrokken leveranciers en oplossingen voor bijgewerkte oplossingen.

Nieuwe updates van dit advies zullen volgen als er een update of nieuwe informatie beschikbaar komt.

Doel

Het doel van deze waarschuwing is de aandacht te vestigen op een kwetsbaarheid in Windows Print Spooler waarvoor een openbare Proof-of-Concept (PoC) code beschikbaar is. De geschiedenis leert dat kwetsbaarheden met publieke PoC's worden uitgebuit in de dagen na de publicatie van de PoC-code.

De bedoeling van deze waarschuwing is om systeembeheerders bewust te maken van deze kwetsbaarheid en de bijhorende risico's, zodat zij dienovereenkomstig kunnen handelen.

Als dit nog niet is gebeurd, raadt CERT.be systeembeheerders aan om hun kwetsbare systemen zo snel mogelijk te patchen en uw systeem- en netwerklogs te analyseren op verdachte activiteiten.

Samenvatting

CVE-2021-1675, ook wel "PrintNightmare" genoemd, is een kwetsbaarheid in Windows Print Spooler, die volledige Remote Code Execution (RCE) op het doelsysteem mogelijk maakt. Bovendien kan dit lek ook zonder authenticatie worden gebruikt om te proberen de lokale privileges uit te breiden.

Na het uitlekken van de proof of concept-code wordt verwacht dat er binnenkort op grote schaal aanvallen zullen plaatsvinden. Deze kwetsbaarheid zal waarschijnlijk worden gebruikt in de tweede fase van een aanval om lateraal op te schuiven of domeinbeheerdersrechten te verkrijgen. Als de Print Spooler service echter wordt blootgesteld aan het internet, kan het ook worden gebruikt als een initiële infectievector.

Technical Details

De kwetsbaarheid CVE-2021-1675 is door de National Vulnerability Database (NVD) vrijgegeven onder CVSS(v2) 6.8 en CVSS(v3) 7.8. Een gedetailleerd overzicht van de scores is te vinden op de website van de NVD1 of op de advisory van Microsoft2.

Door een authenticatieprobleem kan een gebruiker zonder speciale rechten aangepaste stuurprogramma's installeren en daarbij veiligheidscontroles omzeilen. In een domeinomgeving kunnen normale domeingebruikers door deze kwetsbaarheid aangepaste stuurprogramma's installeren op domeincontrollers (DC's) die de Print Spooler service draaien. Succesvolle exploitatie kan leiden tot een volledige aantasting van het domein.

Een volledige technische beschrijving, evenals voorbeeldcode is beschikbaar op GitHub3. Er zijn ook Sigma-regels beschikbaar4.

Risks

Actoren van wie een geavanceerde bedreiging uitgaan kunnen deze CVE gebruiken om toegang te krijgen tot netwerken in diverse sectoren van kritieke infrastructuur.

Zij kunnen dan exfiltratie- of gegevensversleutelingsaanvallen uitvoeren. Zij kunnen ook andere CVE's en/of exploitatietechnieken gebruiken om zich op kritieke infrastructuur te richten en verdere aanvallen uit te voeren.

Affected Vendors and Workarounds

Deze kwetsbaarheid treft alle versies van Microsoft Windows.

CERT.be raadt systeembeheerders aan hun OS-versies zo snel mogelijk te upgraden naar de laatste beschikbare versie, en ervoor te zorgen dat de beschikbare patch2 is geïnstalleerd

Als snel patchen niet mogelijk is, is er een work-around beschikbaar. Als deze work-around samen met de patch wordt toegepast, kan deze ook de algehele beveiliging van uw computerinfrastructuur verbeteren5:

Schakel de print spooler service uit op alle machines of schakel de service uit op machines die uitgebreide rechten hebben, zoals domeincontrollers en andere administratieve systemen. Na het uitschakelen van deze service is printerpruning niet meer functioneel, maar deze functionaliteit wordt zelden gebruikt.

Update 2021-07-01:

  • Schakel de Windows Print Spooler service uit op Domain Controllers en systemen die niet afdrukken.

Command line: net stop spooler && sc config spooler start=disabled
PowerShell: Stop-Service -Name Spooler -Force Set-Service -Name Spooler -StartupType Disabled

  • Voor systemen waarbij het onmogelijk is de service uit te schakelen, moet de toegang tot de Print Spooler service op netwerkniveau worden beperkt, bijvoorbeeld door firewallregels toe te voegen.
  • Verhoog uw opsporingsmogelijkheden met de SIGMA-regel4 van Florian Roth of volg de "Detection in Microsoft Suite"-suggesties7

Sources

  1. http://nvd.nist.gov/vuln/detail/CVE-2021-1675
  2. https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-1675
  3. https://docs.microsoft.com/en-us/defender-for-identity/cas-isp-print-spooler