Thomas Maggnussen 2 Geschrieben 29. Oktober 2021 Melden Teilen Geschrieben 29. Oktober 2021 Liebe alle, hab mir jetzt ein paar Videos und Artikel bzgl. PrintNightmare gelesen. Wie das funktioniert ist mir klar, nicht klar ist mir, wie der User den Programmcode ausführt. Reicht es z.B. wenn er eine Webseite besucht die den Code ausführt? Sich ein Programm runterlädt, dass keine Adminrechte braucht wo der Code dann läuft? Da es über einen Emailanhang funktioniert leuchtet mir ein, aber was sind die anderen Einfallstore? Danke! Zitieren Link zu diesem Kommentar
Beste Lösung falkebo 21 Geschrieben 31. Oktober 2021 Beste Lösung Melden Teilen Geschrieben 31. Oktober 2021 Hallo @Thomas Maggnussen. Ich weiß nicht, ob ich deine Frage richtig verstanden habe, versuche Sie jedoch zu beantworten. Die Schwachstellen im Windows Print Spooler, welche unter CVE-2021-34527 und CVE-2021-36958 geführt werden, sind ganz grundsätzlich erstmal sogenannte RCEs (Remote-Code-Execution) Schwachstellen. Hierbei wird es einem Angreifer ermöglicht, Schwachstellen in einem Programm über das Netzwerk auszunutzen. Im Rahmen von Print Nightmare, können Angreifer (sofern Sie sich im internen Netzwerk befinden), präparierten Code an beliebige Print Spooler schicken und sich anschließend z.B. eine SYSTEM Shell erzeugen lassen. Gegen DCs oder ähnlich privilegierte Server gerichtet, hat dieser Angriff verheerende Folgen. Die möglichen Eintrittspunkte für solch einen Angriff reichen von "Ich stöpsele mich am Netzwerk an", bis zu "Ich bringe meinen Exploit via E-Mail, Drive-By, etc. ins Netzwerk und lasse mir eine Reverse-Shell aufbauen". 1 1 Zitieren Link zu diesem Kommentar
Thomas Maggnussen 2 Geschrieben 1. November 2021 Autor Melden Teilen Geschrieben 1. November 2021 Ahhh danke! Doch, das meinte ich. Er muss ins Netzwerk. Einstöpseln oder einen Unser dazu bringen etwas auszuführen. Ging mir darum ob es z.B. reicht wenn er auf irgendwelche Seite surft und ohne sein Zutun das ding lädt. Vielen DAnk! Zitieren Link zu diesem Kommentar
MurdocX 951 Geschrieben 1. November 2021 Melden Teilen Geschrieben 1. November 2021 vor 4 Stunden schrieb Thomas Maggnussen: Ging mir darum ob es z.B. reicht wenn er auf irgendwelche Seite surft und ohne sein Zutun das ding lädt. Das ginge auch, wenn eine Sicherheitslücke im Browser ausgenutzt werden würde. 1 Zitieren Link zu diesem Kommentar
daabm 1.354 Geschrieben 1. November 2021 Melden Teilen Geschrieben 1. November 2021 Pwned basiert meistens auf der Kombination mehrerer Lücken, ich bin da bei @MurdocX und würde mich nicht auf "kommt schon nicht ins Netz" verlassen... Ist ganz interessant, wenn man sich mal die Kombinationen anschaut, die hier die Sieger so nutzen: https://en.wikipedia.org/wiki/Pwn2Own 2 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.