FUNCIONAMENTO DO WINDOWS PRINT SPOOLER REMOTE CODE

FUNCIONAMENTO DO WINDOWS PRINT SPOOLER REMOTE CODE EXECUTION VULNERABILITY E PRECAUÇÕES

Por Iago Blambila

AFD TECH

Registro acerca do Windows Print Spooler Remote Code Execution Vulnerability, para fins de documentação e catalogação a serem implementados no acevo de conteúdo voltado a Segurança Cibernética e Forense Digital na Academia de Forense Digital

Orientador (a): Renan Cavalheiro

RIO DE JANEIRO – RJ 2020

RESUMO

Este trabalho apresenta o comportamento da exploração da vulnerabilidade de segurança descrita na CVE 2021 34527, ilustrando a exploração a fim de apresentar a sensibilidade do caso em questão, ilustrando também, as formas de precauções recomendadas pela CVE 2021 34527 e como o usuário pode estar protegido.

 

Sumário

RESUMO………………………………………………………………………………………………………………………. 2

OBJETIVO……………………………………………………………………………………………………………………… 4

JUSTIFICATIVA………………………………………………………………………………………………………………… 4

AFD TECH: WINDOWS PRINT SPOOLER REMOTE CODE EXECUTION VULNERABILITY……………………………… 5

BIBLIOGRAFIA……………………………………………………………………………………………………………….. 14

GLOSSÁRIO………………………………………………………………………………………………………………….. 15

 

OBJETIVO

Dissertar sobre a periculosidade da vulnerabilidade e os riscos envolvidos, alertando os leitores e instruindo-os também, sobre como proteger o sistema segundo as recomendações da própria CVE 2021 34527.

JUSTIFICATIVA 

Gerar um acervo que sirva de referência para estudantes e profissionais na área de forense digital. Tendo como finalidade, a disseminação dos processos forenses, tem relação direta com o rumo da investigação, apresentando suas técnicas e metodologias.

 

AFD   TECH:    WINDOWS    PRINT   SPOOLER   REMOTE   CODE    EXECUTION VULNERABILITY

No fim do mês de junho, a Microsoft anuncia em seu site, na área de vulnerabilidades de atualizações de segurança o “Windows Print Spooler Remote Code Execution Vulnerability”1. Uma vulnerabilidade que explora remotamente o serviço de “Print Spooler”(Spooler de Impressão) que por padrão é habilitada no sistema. Uma vez que a falha é explorada, o atacante obtém privilégios de SYSTEM, privilégios esses que concedem a ele permissões para realizar instalações de programas, ver, criar ou deletar dados do sistema e também criar contas de usuário com todas as permissões. Significa que mesmo que o atacante realize o ataque em usuário com restrições, a vulnerabilidade dará a este usuário privilégios para que ele possa realizar diversas ações que não estão inclusas em suas permissões. A vulnerabilidade afeta todos as versões do sistema Windows.

Figura 1 – Vulnerabilidade CVE – 2021


Fonte: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527

O patch de correção lançado pela Microsoft aparentemente solucionou a falha, então instrui aos usuários que desabilitem a CVE-2021-34527 foi lançada, instruindo os usuários a desabilitarem o serviço. Sendo assim, veremos como é realizada exploração da vulnerabilidade e como desabilitar o serviço para mitigar o risco.

 

  • – EXPLORANDO A VULNERABILIDADE

 <https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527.> Acesso em: 07 de jul. 2021.1MSRC.MICROSOFT. Vulnerabilidade de execução remota de código do Spooler de Impressão do Windows

Utilizando então uma máquina com o Kali Linux para explorar a vulnerabilidade e uma Windows a ser explorada.

Observando a máquina Windows, no Gerenciamento do Computador, é possível ver que há um usuário chamado de “teste”. Ele não tem nenhuma permissão como administrador do sistema. E para ilustrar a vulnerabilidade, utilizaremos este mesmo como exemplo.

Fonte: https://www.youtube.com/watch?v=i_Sy4gtT1GE
Figura 2 – Windows_Permissões

Observando os serviços ativos, é possível verificar também que o Spooler de impressão está ativo como: automático.

Fonte: https://www.youtube.com/watch?v=i_Sy4gtT1GE
Figura 3 – Windows_Serviços

 

Então, utilizando a máquina Kali, teremos três terminais aos quais veremos as funções no decorrer do processo.

 

Fonte: https://www.youtube.com/watch?v=i_Sy4gtT1GE
Figura 4 – Kali_01

O primeiro passo é ter o script para realizar o exploit, que está ilustrado no terminal envolvido na cor verde. Lembrando que para explorar essa vulnerabilidade é necessário saber as credenciais simples de acesso do usuário alvo.

 

Para o segundo passo, criaremos um malware através do msfvenon, gerando uma dll para utilizar um shell reverso. Conforme a imagem abaixo:

 

Fonte: https://www.youtube.com/watch?v=i_Sy4gtT1GE
Figura 5 – Kali_02

Através dessa sintaxe geramos uma Dll com uma conexão de reverse_tcp apontando para o nosso kali (o lhost) na porta 4444 e com o nome “malware.dll”.

Fonte: https://www.youtube.com/watch?v=i_Sy4gtT1GE
Figura 6  – Kali_03

Com o malware criado, é necessário disponibiliza-lo em uma share do próprio Kali. Utilizaremos o samba, que atualmente apresenta facilidades para realizar a configuração do endereço da pasta a ser compartilhada.

Vamos então ao diretório do arquivo ao qual queremos realizar as alterações do samba

Fonte: https://www.youtube.com/watch?v=i_Sy4gtT1GE Figura 8 – Kali_05
Figura 7 – Kali_04

 

Fonte: https://www.youtube.com/watch?v=i_Sy4gtT1GE

 

Basta adicionar a sessão relacionada ao diretório desejado, com as opções acima. Lembrando, aqui estará presente o malware para o compartilhamento.

 

Utilizaremos então o multi/handler através do metasploit, que já está preparado em outro dos terminais que abertos.

 

Figura 8 – Kali_05

Fonte: https://www.youtube.com/watch?v=i_Sy4gtT1GE

Figura 9 – Kali_06

Com o LHOST para apontando para Kali e o LPORT para a porta 4444, que escolhemos durante a criação do malware.

Fonte: https://www.youtube.com/watch?v=i_Sy4gtT1GE
Figura 10 – Kali_07

Com o parâmetro abaixo, deixaremos tudo pronto para receber uma conexão. Assim, seguindo para o uso do script que explora a vulnerabilidade na outra janela que também esta aberta.

Fonte: https://www.youtube.com/watch?v=i_Sy4gtT1GE
Figura 11 – Kali_08

Apenas para termos uma melhor visualização antes do processo, os terminais encontram-se da seguinte maneira:

Fonte: https://www.youtube.com/watch?v=i_Sy4gtT1GE
Figura 12 – Kali_09

Seguindo com a execução do script temos:

Fonte: https://www.youtube.com/watch?v=i_Sy4gtT1GE
Figura 13 – Kali_010

  • python3 para para executar o

•  usuário:senha@IP_atacado

  • Local onde está sendo compartilhado nosso malware entre aspas

Após a execução do script, é possível observar na conexão do metasploit que a exploração da vulnerabilidade ocorreu com sucesso.

Fonte: https://www.youtube.com/watch?v=i_Sy4gtT1GE
Figura 14 – Kali_011

Para explorar um pouco a utilização, no exemplo abaixo, verificamos o processo “explorer.exe”

e migramos para ele no PID 3776 . E vamos obter uma print de tela.

Fonte: https://www.youtube.com/watch?v=i_Sy4gtT1GE
Figura 15 – Kali_012


Fonte: https://www.youtube.com/watch?v=i_Sy4gtT1GE
Figura 16 – Kali_013

Temos então um print direto da tela do usuário alvo. É possível também, realizar diversas outras ações conforme informadas na CVE.

Seguindo então a CVE-2021-34527, veremos como desabilitar o serviço para evitar o ataque.

  • – PRECAUÇÕES – EVITANDO A EXPLORAÇÃO

Segundo descrito na CVE-2021-34527, essa vulnerabilidade está presente em todas as versões do Windows e a recomendação nessa CVE é que o usuário desabilite o serviço e mantenha o sistema atualizado. E existem duas formas para desabilitar o serviço. Através da navegação para o usuário ou pelo prompt de comando.

  • Parando o serviço através da navegação em Serviços

A primeira forma para parar o serviço, é navegar até os serviços que estão ativos no sistema, encontrar o serviço de spooler de impressão e optar por parar o serviço. O Windows apresentará uma janela de progresso do processo e após isso o serviço estará desabilitado.

Fonte: https://www.youtube.com/watch?v=i_Sy4gtT1GE
Figura 17 – Win_Disable_Service

  • Parando o serviço através do Prompt de comando

•  Get-Service -Name Spooler

Apresenta o estado do serviço

•           Stop-Service -Name Spooler –Force:

Força a parada do serviço

•  Set-Service -Name Spooler -StartupType Disabled

Desabilita sua ativação automática ao iniciar o Sistema.

 

BIBLIOGRAFIA

1. ACADEMIA DE FORENSE DIGITAL. Como funciona o Windows Print Spooler Remote Code Execution

Vulnerability e como se prevenir?

Disponivel em: < https://www.youtube.com/watch?v=i_Sy4gtT1GE>. Acesso em: jul. de 2021.

  1. MSRC.MICROSOFT. Vulnerabilidade de execução remota de código do Spooler de Impressão do Windows

Disponível em: <https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527.> Acesso em: jul. 2021.

GLOSSÁRIO

Relação de palavras ou expressões técnicas de uso restrito ou de sentido obscuro, utilizadas no texto, acompanhadas das respectivas definições.

 



Deixe um comentário

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.

error: O conteúdo está protegido !!