Networkforensic
Threat hunting
‘PrintNightmare’ - CVE-2021-1675
4 Juli 2021 - Blog Post # 796
Sårbarhed i
print spooler servicen
Ja endnu en sårbarhed i en Microsoft Service. Netop print
spooler servicen har der igennem tiden været flere kritisk
sårbarheder til. Derfor helt tilbage fra Windows XP tiden har det
været god skik ikke at starte denne service som default på andet end
print servers. NEJ en AD controller skal ikke være print server.
Klienter skal heller ikke agere print servers. Heller ikke selvom
Microsoft syntes det er en god ide at service er startet som
default.
Fiks fra Microsoft bliver frigivet 12 Juli 2021 til dette.
Man skal ikke gå i panik over denne selvom rigtig mange gerne ser
man gør. Hvem kan ikke leve uden en ny printer bliver installeret
før den 13 Juli 2021 (7 dage fra nu)
Skift rettigheder på følgende
C:\Windows\System32\spool\drivers (med alle subfolders) "Deny
modify" Fjerne også system rettigheder. Det forhindre også den POC
der er i omløb slet ikke vil virke.
Det der allerede er installeret vil stadig virke med denne simple
mitigering: Selvom nogen siger det er en dårlig ide så virker det
rigtig fint at ændre rettigheder på folderen og det kan gøres indtil
et pacth er kommet. Inden du patcher skal du selvfølgelig huske at
ændre rettigheder tilbage igen.
Det er jo ikke sådan at alle printere holder op med at virke og husk
driveren er installeret på print serveren. Endnu mere vigtigt er at
et print job bliver sendt til følgende sti på en print server -
C:\Windows\System32\spool\PRINTERS
(Hvis det er Windows) og det er ikke den der er ændret rettigheder
på. Så print virker stadigvæk. Min overbevisning siger mig at 99.99%
af forretningen virker indtil en patch er kommet. Og du kan nu sove
roligt de næste 7 dage. Husk det er en mitigering ikke en permanent
fiks.
Nogen påstår det er den vildete sårbarhed i 17 år.
Til det kan jeg kun sige sikken en gang vås. Jeg kan uden problemer
finde hunderedvis i samme kategori bare fra 2020. Noget bliver ikke
mere sårbart end CVSS v3.0 Rating10.0. En sårbarhed kan være kritisk
på mange måder. Giver den system rettigehder, så er den lige så slem
som alle de andre med CVSS 10.0. Kan den bruges af orme osv så er
det jo skidt. Igennem 2020 har der være flere sårbarheder der kan
bruges af orme. Så det gør ikke denne her til noget mere spicelt end
alt det andet der har været.
Lige netop print spooler. Der skal man i 99.9% af alle tilfælde have
adgang til der hvor der er en print server eller som nogen uheldige
elementer har gjort det og installeret print serveren på en AD
controller. Det er typisk på et LAN.
Jeg kan virkelig anbefale at bruge Linux (Ubuntu) som print servers,
såfremt man har brug for print servers.
Til mange vil det nok være en god ide at få kigget generalt på print
spooler servicen i et Microsoft setup. Få den nu kun aktiv der hvor
den skal bruges (på print servers) og Linux Ubuntu servers virker
fint som print servers. Vi ved jo det er en service på Microsoft der
har været i target mange gange før, så hvorfor ikke bruge en Linux
kasse når nu servicen alligevel skal være tilgængelig for mange. Så
kan man også spare den licens.
Følgende GPO kan bruges
Allow Print spoolers to accept client connections - set to disabled
Yderligere kan man nøjes med at disable Print Spooler
servicen
Print Spooler - startup type = disabled
Security Onion med Sysmon
Bruger man Security onion eller bare Sysmon og opsamler disse til en
ELK med winlogbeat, kan jeg anbefale følgende:
I min frigivet Sysmon config er den nu tilpasset så man ser alle
filer der bliver oprettet i
C:\Windows\System32\spool\drivers og underforlders.
Følgende søge strenge kan benyttes til at finde oprettet filer i
denne folder:
Elk søgning: target_filename:
"c:\\Windows\\System32\\spool\\drivers\\*"
Evt kig efter rulename:
Bruger man ikke det at ændre rettigheder og i stedet vil holde øje
med hvor mange filer der bliver oprettet i en instastruktur i
drivers folderen med sysmon. Så vil man nok blive lidt forbavset
over hvor lidt der sker dernede.
event_data.RuleName: "File created in
Print Drivers folder"
Til sysmon config:
<RuleGroup name="" groupRelation="or">
<!-- Event ID 11 == FileCreate. -->
<FileCreate onmatch="include">
<TargetFilename name="File created in Print Drivers folder"
condition="begin
with">C:\Windows\System32\spool\drivers</TargetFilename>
NF IDS Rules
5 Latest Updates
Scanning IP's
Recyber net Scanning
SHODAN Scanning
Recon security ipip
Binaryedge Recon
Download