6月末、研究チームはMicrosoft Windows Print Spoolerにおけるリモート・コード実行(RCE)の脆弱性に関する情報を公表した。攻撃者は、この脆弱性(PrintNightmareと呼ばれている)を悪用して、影響を受けるシステムを制御することができる。この脆弱性は以前からWindowsに存在していたようで、研究者はTianfu Cupに参加するために、概念実証(POC)として悪用を開発することができた。
攻撃者は、このエクスプロイトを利用する前に、Vectra の既存の検知をトリガーとするいくつかのアクションを実行することが分かっています。 これらの検知は、外部リモートアクセスや HTTPS 隠しトンネルのようなコマンド&コントロール、ポートスキャン、ポートスイープ、ターゲット RPC Recon のような偵察技術、Suspicious Remote Execution や Privilege Access Anomaly のようなクレデンシャルベースの横移動に関連するものです。
Windows Print Spoolerには長い脆弱性の歴史があり、その偏在性はターゲットに深刻な影響を与える可能性があります。この攻撃のPOCは現在公開されており、この攻撃の展開が容易であることから、Vectra 、既存のカバレッジを補強し、このエクスプロイトの使用を強調するカスタムモデルを開発しました。
総合的な可視性の達成
このエクスプロイトは、悪意のあるダイナミック・リンク・ライブラリ(DLL)に関連付けられた新しいネットワーク・プリンタ・ドライバを作成することに依存している。つまり、この2つの異なるアクティビティを探すことで攻撃を検知し、攻撃を素早く阻止することができる。
これらの活動の最初のものは、新しいネットワークプリンターを追加するDCE/RPCコマンドである。
RpcAddPrinterDriver
または
RpcAddPrinterDriverEx
これらのコマンドは、新しいプリンターを作成するという状況下では、それ自身は無害である。しかし、このような場合、レスポンスするホストはプリンタシステムに関連付けられており、元のホストはプリンタを作成する管理者である。
第二に、新しいプリンタドライバを作成する前に、不審なDLLファイルをアップロードすることです。RpcAddPrinterDriverの操作は、悪意のあるDLLファイルにリンクされ、エクスプロイトを実行する前に悪意のある脅威アクターによってコンパイルされる必要があります。
脅威の先を行く
PrintNightmareの使用を含め、攻撃のあらゆる段階で攻撃者を検知する方法(Vectra )について詳しくは、お気軽にお問い合わせいただくか、当社のソリューションを30日間無料でお試しください!