Thomas Maggnussen 2 Geschrieben 29. Oktober 2021 Melden Geschrieben 29. Oktober 2021 Liebe alle, hab mir jetzt ein paar Videos und Artikel bzgl. PrintNightmare gelesen. Wie das funktioniert ist mir klar, nicht klar ist mir, wie der User den Programmcode ausführt. Reicht es z.B. wenn er eine Webseite besucht die den Code ausführt? Sich ein Programm runterlädt, dass keine Adminrechte braucht wo der Code dann läuft? Da es über einen Emailanhang funktioniert leuchtet mir ein, aber was sind die anderen Einfallstore? Danke! Zitieren
Beste Lösung falkebo 21 Geschrieben 31. Oktober 2021 Beste Lösung Melden Geschrieben 31. Oktober 2021 Hallo @Thomas Maggnussen. Ich weiß nicht, ob ich deine Frage richtig verstanden habe, versuche Sie jedoch zu beantworten. Die Schwachstellen im Windows Print Spooler, welche unter CVE-2021-34527 und CVE-2021-36958 geführt werden, sind ganz grundsätzlich erstmal sogenannte RCEs (Remote-Code-Execution) Schwachstellen. Hierbei wird es einem Angreifer ermöglicht, Schwachstellen in einem Programm über das Netzwerk auszunutzen. Im Rahmen von Print Nightmare, können Angreifer (sofern Sie sich im internen Netzwerk befinden), präparierten Code an beliebige Print Spooler schicken und sich anschließend z.B. eine SYSTEM Shell erzeugen lassen. Gegen DCs oder ähnlich privilegierte Server gerichtet, hat dieser Angriff verheerende Folgen. Die möglichen Eintrittspunkte für solch einen Angriff reichen von "Ich stöpsele mich am Netzwerk an", bis zu "Ich bringe meinen Exploit via E-Mail, Drive-By, etc. ins Netzwerk und lasse mir eine Reverse-Shell aufbauen". 1 1 Zitieren
Thomas Maggnussen 2 Geschrieben 1. November 2021 Autor Melden Geschrieben 1. November 2021 Ahhh danke! Doch, das meinte ich. Er muss ins Netzwerk. Einstöpseln oder einen Unser dazu bringen etwas auszuführen. Ging mir darum ob es z.B. reicht wenn er auf irgendwelche Seite surft und ohne sein Zutun das ding lädt. Vielen DAnk! Zitieren
MurdocX 965 Geschrieben 1. November 2021 Melden Geschrieben 1. November 2021 vor 4 Stunden schrieb Thomas Maggnussen: Ging mir darum ob es z.B. reicht wenn er auf irgendwelche Seite surft und ohne sein Zutun das ding lädt. Das ginge auch, wenn eine Sicherheitslücke im Browser ausgenutzt werden würde. 1 Zitieren
daabm 1.387 Geschrieben 1. November 2021 Melden Geschrieben 1. November 2021 Pwned basiert meistens auf der Kombination mehrerer Lücken, ich bin da bei @MurdocX und würde mich nicht auf "kommt schon nicht ins Netz" verlassen... Ist ganz interessant, wenn man sich mal die Kombinationen anschaut, die hier die Sieger so nutzen: https://en.wikipedia.org/wiki/Pwn2Own 2 Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.