Networkforensic

Threat hunting

‘PrintNightmare’ - CVE-2021-1675

 4 Juli 2021  - Blog Post # 796

Sårbarhed i print spooler servicen
Ja endnu en sårbarhed i en Microsoft Service. Netop print spooler servicen har der igennem tiden været flere kritisk sårbarheder til. Derfor helt tilbage fra Windows XP tiden har det været god skik ikke at starte denne service som default på andet end print servers. NEJ en AD controller skal ikke være print server. Klienter skal heller ikke agere print servers. Heller ikke selvom Microsoft syntes det er en god ide at service er startet som default.

Fiks fra Microsoft bliver frigivet 12 Juli 2021 til dette.
Man skal ikke gå i panik over denne selvom rigtig mange gerne ser man gør. Hvem kan ikke leve uden en ny printer bliver installeret før den 13 Juli 2021 (7 dage fra nu)

Skift rettigheder på følgende C:\Windows\System32\spool\drivers (med alle subfolders) "Deny modify" Fjerne også system rettigheder. Det forhindre også den POC der er i omløb slet ikke vil virke.

Det der allerede er installeret vil stadig virke med denne simple mitigering: Selvom nogen siger det er en dårlig ide så virker det rigtig fint at ændre rettigheder på folderen og det kan gøres indtil et pacth er kommet. Inden du patcher skal du selvfølgelig huske at ændre rettigheder tilbage igen.

Det er jo ikke sådan at alle printere holder op med at virke og husk driveren er installeret på print serveren. Endnu mere vigtigt er at et print job bliver sendt til følgende sti på en print server - C:\Windows\System32\spool\PRINTERS (Hvis det er Windows) og det er ikke den der er ændret rettigheder på. Så print virker stadigvæk. Min overbevisning siger mig at 99.99% af forretningen virker indtil en patch er kommet. Og du kan nu sove roligt de næste 7 dage. Husk det er en mitigering ikke en permanent fiks.

Nogen påstår det er den vildete sårbarhed i 17 år.
Til det kan jeg kun sige sikken en gang vås. Jeg kan uden problemer finde hunderedvis i samme kategori bare fra 2020. Noget bliver ikke mere sårbart end CVSS v3.0 Rating10.0. En sårbarhed kan være kritisk på mange måder. Giver den system rettigehder, så er den lige så slem som alle de andre med CVSS 10.0. Kan den bruges af orme osv så er det jo skidt. Igennem 2020 har der være flere sårbarheder der kan bruges af orme. Så det gør ikke denne her til noget mere spicelt end alt det andet der har været.

Lige netop print spooler. Der skal man i 99.9% af alle tilfælde have adgang til der hvor der er en print server eller som nogen uheldige elementer har gjort det og installeret print serveren på en AD controller. Det er typisk på et LAN.

Jeg kan virkelig anbefale at bruge Linux (Ubuntu) som print servers, såfremt man har brug for print servers.

Til mange vil det nok være en god ide at få kigget generalt på print spooler servicen i et Microsoft setup. Få den nu kun aktiv der hvor den skal bruges (på print servers) og Linux Ubuntu servers virker fint som print servers. Vi ved jo det er en service på Microsoft der har været i target mange gange før, så hvorfor ikke bruge en Linux kasse når nu servicen alligevel skal være tilgængelig for mange. Så kan man også spare den licens.

Følgende GPO kan bruges
Allow Print spoolers to accept client connections - set to disabled

Yderligere kan man nøjes med at disable Print Spooler servicen
Print Spooler - startup type = disabled

Security Onion med Sysmon
Bruger man Security onion eller bare Sysmon og opsamler disse til en ELK med winlogbeat, kan jeg anbefale følgende:

I min frigivet Sysmon config er den nu tilpasset så man ser alle filer der bliver oprettet i C:\Windows\System32\spool\drivers og underforlders.

Følgende søge strenge kan benyttes til at finde oprettet filer i denne folder:
Elk søgning: target_filename: "c:\\Windows\\System32\\spool\\drivers\\*"

Evt kig efter rulename:
Bruger man ikke det at ændre rettigheder og i stedet vil holde øje med hvor mange filer der bliver oprettet i en instastruktur i drivers folderen med sysmon. Så vil man nok blive lidt forbavset over hvor lidt der sker dernede.
event_data.RuleName: "File created in Print Drivers folder"

Til sysmon config:
<RuleGroup name="" groupRelation="or">
<!-- Event ID 11 == FileCreate. -->
<FileCreate onmatch="include">
<TargetFilename name="File created in Print Drivers folder" condition="begin with">C:\Windows\System32\spool\drivers</TargetFilename>
 

 NF IDS Rules
5 Latest Updates   

Scanning IP's

Recyber net Scanning

SHODAN Scanning

Recon security ipip

Binaryedge Recon

Download