A finales de junio, equipos de investigación publicaron información sobre una vulnerabilidad de ejecución remota de código (RCE) en Microsoft Windows Print Spooler, ahora conocida como CVE-2021-1675. Un atacante puede explotar esta vulnerabilidad -apodada PrintNightmare- para tomar el control de un sistema afectado. Esta vulnerabilidad parece existir en Windows desde hace algún tiempo, y los investigadores pudieron desarrollar un exploit como prueba de concepto (POC) para participar en la Copa Tianfu.
Sabemos que los atacantes realizarán varias acciones antes de aprovechar este exploit que activarían las detecciones existentes en Vectra . Estas detecciones estarían asociadas con el comando y control, como el acceso remoto externo o el túnel oculto HTTPS, técnicas de reconocimiento como Port Scan, Port Sweep y Targeted RPC Recon, y movimiento lateral basado en credenciales como Suspicious Remote Execution o Privilege Access Anomaly.
Windows Print Spooler tiene un largo historial de vulnerabilidades, y su ubicuidad puede afectar seriamente a los objetivos. Debido a que el POC para este ataque es ahora público y a la facilidad de despliegue de este ataque, Vectra ha desarrollado un modelo personalizado para aumentar nuestra cobertura existente y destacar el uso de este exploit.
Visibilidad total
El exploit se basa en la creación de un nuevo controlador de impresora de red asociado a una biblioteca de vínculos dinámicos (DLL) maliciosa. Esto significa que podemos detectar el ataque buscando esas dos actividades distintas y detenerlo rápidamente.
La primera de estas actividades es el comando DCE/RPC que añade la nueva impresora de red.
RpcAddPrinterDriver
o
RpcAddPrinterDriverEx
Estos comandos por sí solos pueden ser benignos en las circunstancias de creación de una nueva impresora. Sin embargo, el host que responde estaría asociado con sistemas de impresoras, y el host de origen un administrador que estaba creando la impresora en tales casos.
La segunda actividad distinta que hay que buscar es la carga de un archivo DLL sospechoso antes de crear el nuevo controlador de impresora. La operación RpcAddPrinterDriver estará vinculada a un archivo DLL malicioso, que tendría que ser compilado por un actor de amenazas malicioso antes de ejecutar el exploit.
Adelántese a las amenazas
Para obtener más información sobre cómo Vectra puede detectar a los atacantes en todas las fases de su ataque, incluido el uso de PrintNightmare, no dude en ponerse en contacto con nosotros o pruebe nuestra solución de forma gratuita durante 30 días.