CoreLight : PrintNightmare, le cryptage SMB3 et votre réseau

CoreLight : PrintNightmare, le cryptage SMB3 et votre réseau

560 420 2SB - Distributeur à valeur ajoutée - Solutions de Cybersécurité

CVE-2021-1675 , également suivi dans CVE-2021-34527 , est une vulnérabilité d’exécution de code à distance qui cible le service Windows Print Spooler.
En résumé, il existe un environnement informatique distribué/appel de procédure à distance (DCE/RPC) qui permet aux utilisateurs authentifiés d’ajouter des pilotes d’imprimante au service de spouleur.
À la place, une DLL malveillante peut être incluse, ce qui permet à un utilisateur de prendre le contrôle de la machine exécutant le spouleur.
Dans le cas où cette machine est également le contrôleur de domaine, les implications sont pires, car le code inclus s’exécutera à un niveau de privilège plus élevé.

Les approches existantes de détection reposent sur la recherche d’ événements Windows ou d’ artefacts au niveau du système , mais la détection sur le réseau présente des défis uniques.
L’attaque repose sur l’ ajout d’un pilote d’imprimante à l’aide des commandes DCE/RPC RpcAddPrinterDriver ouRpcAddPrinterDriverEx .
Malheureusement, il existe des utilisations légitimes de cette commande, de sorte que le fait de se fier entièrement à la réussite de cette commande en tant que détection peut être source d’erreurs.
Pour aggraver les choses, un POC dans la nature encapsule les appels DCE/RPC dans le cryptage SMB3.
Comparez la première capture d’écran qui montre clairement l’appel RPC pertinent par rapport à la seconde du POC mentionné avant, qui n’affiche que les charges utiles chiffrées. RpcAddPrinterDriverRpcAddPrinterDriverEx

Figure 1 PCAP dans Wireshark montrant l exploit PrintNightmare transporte sur DCE-RPC en clair.

Figure 1 : PCAP dans Wireshark montrant l’exploit PrintNightmare transporté sur DCE/RPC en clair.

Figure 2 POC PrintNightmare ecrit en impacket avec des charges utiles chiffrees par SMB3. Gracieusement partage avec nous par Z nder Work .

Figure 2 : POC PrintNightmare écrit en impacket avec des charges utiles chiffrées par SMB3. Gracieusement partagé avec nous par Z nder Work .

Ainsi, afin d’identifier les commandes DCE/RPC, il faut soit intercepter et décrypter les charges utiles, soit déduire les commandes des communications cryptées, comme nous l’avons fait avec d’ autres protocoles .

Étant donné la gravité du problème, nous publions un paquet Zeek qui identifie les ajouts de pilotes d’imprimante qui se produisent en clair sur DCE/RPC.
Bien que cela ne garantisse pas l’identification de cet exploit, la commande semble se produire rarement sur les réseaux de test.
Votre “Mileage” peut cependant varier.
En espérant que cela aidera la communauté NDR à identifier les cas potentiels d’exploitation.
Depuis le 6 juillet, Microsoft a publié des correctifs supplémentaires pour résoudre ce problème, ainsi que d’autres mesures d’atténuation si la mise à jour d’un système n’est pas possible.

Source : CoreLight

Pour plus d’informations concernant les solutions

Contactez-nous
Share
Broadcom Symantec Web Protection Suite : une passerelle unique pour les applications Web et cloud
Broadcom Symantec : Broadcom Software nommé client Google Cloud de l’année

Start Typing