{"id":255296,"date":"2021-07-01T01:12:04","date_gmt":"2021-06-30T23:12:04","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=255296"},"modified":"2023-05-12T06:31:13","modified_gmt":"2023-05-12T04:31:13","slug":"poc-fr-windows-print-spooler-schwachstelle-ffentlich-hohes-rce-risiko","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/07\/01\/poc-fr-windows-print-spooler-schwachstelle-ffentlich-hohes-rce-risiko\/","title":{"rendered":"PoC für Windows Print-Spooler-Schwachstelle öffentlich, hohes RCE-Risiko"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Sicherheitsforscher haben Proof-of-Concept-Code (PoC) f\u00fcr eine Remotecode Execution-Schwachstelle (REC) im Windows Print Spooler ver\u00f6ffentlich. Der POC-Code wurde zwar sofort wieder gel\u00f6scht, es ist aber davon auszugehen, dass Kopien gezogen wurden. \u00dcber die Schwachstelle CVE-2021-1675 ist es m\u00f6glich, dass ein Angreifer Remote-Zugriff auf einen Windows Domain Controller erlangen und diesen \u00fcbernehmen kann.<\/p>\n

<\/p>\n

Schwachstelle CVE-2021-1675 und der POC<\/h2>\n

\"\"Ich bin erstmals \u00fcber nachfolgenden Tweet<\/a> auf den Sachverhalt gesto\u00dfen, der genauer in diesem Artikel<\/a> beschrieben wird.<\/p>\n

\"PoC<\/a><\/p>\n

Der Sachverhalt ist schnell beschrieben: Laut Tenable<\/a> ver\u00f6ffentlichten Ende Juni 2021 zwei verschiedene Forschungsteams Informationen zu CVE-2021-1675. Es handelt sich um eine RCE-Schwachstelle (Remote Code Execution) im Windows Print Spooler, die als PrintNightmare bekannt ist.<\/p>\n

Schwachstelle im Juni 2021 nur teilweise gepatcht<\/h2>\n

Als die Schwachstelle urspr\u00fcnglich beim Juni 2021-Patchday bekannt gegeben und durch ein Juni 2021-Update geschlossen wurde, galt noch ein geringer Schweregrad – denn es war nur eine lokale Code-Execution mit der M\u00f6glichkeit, erh\u00f6hte Berechtigungen zu bekommen, bekannt. Am 21. Juni 2021 wurde der Bedrohungsgrad jedoch auf Kritisch erh\u00f6ht, da eine Remote Code Execution (RCE) m\u00f6glich ist. Die Entdeckung wurde Zhipeng Huo vom Tencent Security Xuanwu Lab, Piotr Madej von AFINE und Yunhai Zhang vom NSFOCUS TIANJI Lab zugeschrieben.<\/p>\n

\"PrinterNightmare<\/a><\/p>\n

Am 28. Juni twitterte<\/a> das Forschungsteam von QiAnXin ein GIF, das die erfolgreiche Ausnutzung von CVE-2021-1675 zur Erlangung von RCE ohne technische Details oder Proof-of-Concept (PoC)-Code zeigt. Am 29. Juni ver\u00f6ffentlichten die Forscher von Sangfor eine vollst\u00e4ndige technische Beschreibung mit PoC-Code auf GitHub.<\/p>\n

\"Info<\/a><\/p>\n

Dieses Repository wurde jedoch nach nur wenigen Stunden wieder entfernt. In obigem Tweet<\/a> wird behauptet, dass man den Code zur\u00fcckgezogen habe, weil ihr eingereichter Vortrag auf der BlackHat-Konferenz in den USA angenommen wurde. Es ist unklar, ob sich die Forscher aufgrund des Tweets von QiAnXin entschieden haben, ihren PoC zu teilen. Die Forscher behaupten, diese Schwachstelle unabh\u00e4ngig von denjenigen entdeckt zu haben, denen die Offenlegung durch Microsoft zugeschrieben wird. Aber ab diesem Zeitpunkt war der Geist aus der Flasche, denn der GitHub-Post wurde vor dem L\u00f6schen bereits durch Dritte kopiert.<\/p>\n

Schwachstelle erm\u00f6glicht RCE, Juni-Patch hilft nicht<\/h2>\n

Die Ausnutzung der Schwachstelle CVE-2021-1675 k\u00f6nnte entfernten Angreifern die vollst\u00e4ndige Kontrolle \u00fcber anf\u00e4llige Systeme erm\u00f6glichen. Um RCE zu erreichen, m\u00fcssten Angreifer einen Benutzer anvisieren, der sich beim Spooler-Dienst authentifiziert. Ohne Authentifizierung k\u00f6nnte die Schwachstelle ausgenutzt werden, um die Privilegien zu erh\u00f6hen. Der Ratschlag von Tenable lautet, die betreffenden Windows-Systeme mit den von Microsoft bereitgestellten Juni 2021-Updates zu patchen.<\/p>\n

\"Printer-Spooler-Schwachstelle<\/a><\/p>\n

In obigem Tweet<\/a> weist jemand darauf hin, dass ein vollst\u00e4ndig gepatchter Windows 2019-Dom\u00e4nencontroller mit einem 0day-Exploit (CVE-2021-1675) vom Konto eines regul\u00e4ren Dom\u00e4nenbenutzers aus geknackt werden konnte und volle SYSTEM-Rechte erhielt. Der Ratschlag lautet: Deaktivieren Sie den \"Print Spooler\"-Dienst auf Servern, die ihn nicht ben\u00f6tigen. Weitere Sicherheitsforscher wie Will Dormann<\/a> oder Mitja Kolsek<\/a> best\u00e4tigen das.<\/p>\n

Um die Ausf\u00fchrung von CVE-2021-1675 (PrintNightmare) zu erkennen findet sich in diesem Tweet<\/a> der Ratschlag, nach kernelbase.dll, unidrv.dll sowie jeder anderen dll, die im gleichen Zeitraum von spoolsv.exe in Unterordner von C:\\Windows\\System32\\spool\\drivers\\ geschrieben wurde, zu suchen.<\/p>\n

Erg\u00e4nzungen:<\/strong> Sicherheitsforscher Kevin Beaumont hat in diesem Artikel<\/a> inzwischen einige Informationen zusammen getragen und diskutiert auch, was man zur Erkennung von Angriffen tun kann. Und von heise gibt es inzwischen diesen deutschsprachigen Beitrag<\/a> mit einer \u00dcbersicht.<\/p>\n

Erg\u00e4nzung 2:<\/strong> Von Microsoft und der CISA gibt es inzwischen auch was zum Thema, siehe Windows Print-Spooler Schwachstelle (CVE-2021-1675, PrintNightmare) von MS best\u00e4tigt; CISA warnt<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Sicherheitsforscher haben Proof-of-Concept-Code (PoC) f\u00fcr eine Remotecode Execution-Schwachstelle (REC) im Windows Print Spooler ver\u00f6ffentlich. Der POC-Code wurde zwar sofort wieder gel\u00f6scht, es ist aber davon auszugehen, dass Kopien gezogen wurden. \u00dcber die Schwachstelle CVE-2021-1675 ist es m\u00f6glich, dass ein Angreifer … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[4328,3288],"class_list":["post-255296","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-sicherheit","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/255296","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=255296"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/255296\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=255296"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=255296"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=255296"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}