Saltar para:
Posts [1] ,
Pesquisa [2]
Informática: fichamentos / clippings / recortes de não-ficção.
Nonfiction Litblog.
Curador é Mestrando em Computação, Especialista em Governança de T.I., Tecnólogo em Redes, Técnico.
Informática: fichamentos / clippings / recortes de não-ficção.
Nonfiction Litblog.
Curador é Mestrando em Computação, Especialista em Governança de T.I., Tecnólogo em Redes, Técnico.
Mònica Martínez Gómez. Implementación de un centro de operaciones de seguridad (SOC) de código abierto con elementos de red para sistemas industriales . Escuela Técnica Superior de Ingeniería de Telecomunicación, Universitat Politècnica de València, Valencia, 12 de septiembre de 2021.
What
PrintNightmare es una vulnerabilidad en el servicio de impresión de Microsoft Windows (PrintSpooler ) que permite la ejecución de código con privilegios de usuario SYSTEM [, que es el de mayor privilegio en sistemas Windows ]. Esta vulnerabilidad se puede utilizar para la escalada de privilegios de forma local en el equipo en que se explota [...] para la obtención de acceso a la red .
How
Una vez el atacante obtiene las credenciales del usuario de una red corporativa [...] mediante técnicas de ingeniería social [phishing ], se utilizan para la obtención de acceso a la red:
[...]
[Malware download: ] En primer lugar, el atacante realiza una conexión con un servidor de impresión remota «\printnightmare.gentilkiwi.com» previamente modificado por el usuario malicioso para explotar la vulnerabilidad de PrintNightmare ;
[Privilege escalation (local): ] Esta acción permite al atacante abrir una terminal de comandos (CMD) con privilegios de usuario SYSTEM , que aprovecha para añadir al [...] usuario comprometido por el atacante durante el phishing al grupo de administradores locales;
[Memory dump: ] Empleando la terminal de comandos con permisos de SYSTEM obtenida durante la ejecución de PrintNightmare el atacante obtiene la información relacionada con el proceso de autenticación de usuarios de Windows de la máquina mediante el volcado de la memoria asociada al proceso lsass.exe .[...]
[Windows Credentials Decoding: ] Una vez se realiza el volcado de la memoria, se ejecuta el software mimikatz[.exe] que permite al atacante acceder a la información en claro del contenido del fichero lsass .DMP generado en el punto anterior;
[Domain Admin Credentials spotting: ] Al acceder al contenido almacenado en el archivo lsass .DMP se obtienen las credenciales de los usuarios que habían iniciado previamente sesión en la máquina [...] entre los cuales se encuentran las credenciales del usuario administrador de dominio [...].
[Domain Controller compromising: ] La obtención de estas credenciales permite al atacante el acceso al controlador de dominio [...]. [...] Movimiento lateral por RDP hacia controlador de dominio donde el usuario [administrador de dominio] realiza una conexión remota desde el equipo comprometido [...] hacia el controlador de dominio [...].
[(e.g.) Ransomware deployment: ] El atacante ahora posee privilegios administrativos del dominio, lo que le permite tener control y acceso total a las diferentes máquinas que forman parte de este. Este nivel de privilegios le permitirían realizar cualquier acción sobre el dominio, en este caso se ha utilizado este nivel de permisos para la detonación de un ransomware . El paso siguiente constituye la descarga del binario malicioso detonante del ransomware a la estación de trabajo y su transferencia al controlador de dominio [...]. Finalmente, una vez el atacante transfiere el binario malicioso al controlador de dominio [...] procede a la ejecución del ransomware que comprometerá e inhabilitará completamente el dominio corporativo .
Bibliografía
Microsoft, Windows Print Spooler Remote Code Execution Vulnerability , 1 Julio 2021. [Último acceso: 19 Julio 2021].
gentilkiwi, mimikatz , [Último acceso: 7 Agosto 2021]