Windows PrintNightmare 漏洞(CVE-2021-34527) 和补丁分析
2021-07-07 19:19:58 Author: www.freebuf.com(查看原文) 阅读量:103 收藏

一、背景

CVE-2021-34527是发生在windows打印服务中的漏洞,攻击者可以利用该漏洞使用低权限用户加载恶意DLL,实现远程代码执行。该漏洞于6月29日以0day的形式被披露[1],被称为PrintNightmare,直到7月6号,微软才推出相应的紧急补丁[2]。此外,该漏洞和微软六月份修复的CVE-2021-1675漏洞十分类似,都是通过加载DLL的方式实现代码执行。

二、CVE-2021-1675分析

该漏洞发生在 AddPrinterDriverEx函数,它一共有三个参数,其中第三个参数是flag,该flag有一个特殊的值并未在官方文档中出现:APD_INSTALL_WARNED_DRIVER = 0x00008000。根据图 1中的代码逻辑,在调用InternalAddPrinterDriverEx之前,会通过bittest对flag的第0xf位进行校验。如果该值为1的话,则v12的值仍然为0,可以绕过24行中对Access的检查,成功调用InternalAddPrinterDriverEx。

图1. APD_INSTALL_WARNED_DRIVER通过权限校验

微软在6月8日修复了该漏洞,具体是在AddPrinterDriverEx中加入了对权限的校验,重点在于YIsElevated、YIsElevationRequered和RunningAsLUA三个函数,当v12==0、v13==1并且v9==1时,flag中的0x8000会通过&操作被去掉,导致后续调用到SplAddPrinterDriverEx时权限验证失败,阻止了漏洞发生。

图 2. CVE-2021-1675漏洞补丁

三、CVE-2021-34527(PrintNightmare)分析

PrintNightMare漏洞可以理解成对CVE-2021-1675补丁的绕过,本文以mimikatz[3]中提供的exp为例进行漏洞分析。

Mimikatz中利用的PrintNightmare漏洞使用到了另一个打印服务的API:RpcAsyncAddPrinterDriver,用于绕过上述补丁中的权限检查。如图 2代码所示,该API同样可以设置flag,增加APD_INSTALL_WARNED_DRIVER,由于该函数没有增加校验过程,因此可以完美绕过后续的bittest检查,实现恶意DLL加载和代码执行。

图3. Mimikatz中printnightmare利用部分代码

具体看,exp首先调用spoolsv!TRemoteWinspool::RpcAsyncAddPrinterDriver函数,如图 4所示,该函数会调用TFunction4设置回调。

图4. RpcAsyncAddPrinterDriver函数

TFunction4设置了对YAddPrinterDriverEx的调用,如图 5所示,v7偏移128处即为YAddPrinterDriverEx;在图 6中,异步回调用到了a1偏移128处的函数指针进行调用,即调用了YAddPrinterDriverEx。

图5. TFunction4设置回调函数

图6. 异步调用YAddPrinterDriverEx回调

调用到YAddPrinterDriverEx时,flag中的APD_INSTALL_WARNED_DRIVER项仍然存在,因此可以绕过添加DLL前的权限检查,实现DLL加载。

图 7. 恶意DLL加载

图 8. 攻击成功界面

四、PrintNightmare补丁分析

微软的补丁主要修改了RpcAddPrinterDriverEx和RpcAsyncAddPrinterDriver两个函数。

1. RpcAddPrinterDriverEx补丁

如图 9所示,在RpcAddPrinterDriverEx中,补丁增加了YIsInAdministratorGroup函数来判断当前用户是否在Administrator组中,如果不在的话,v9,v12和v13的值为false;

图9. RpcAddPrinterDriverEx补丁

如图 10所示,YIsElevationRequired函数会通过获取注册表项NoWarningNoElevationOnInstall的值来判断是否需要提升权限以安装驱动,该函数返回值如果为true则表示需要。如果 v12的值为false,则会导致第58行的if判断成功,并进一步在59行中清除flag的APD_INSTALL_WARNED_DRIVER项。

图10. YIsElevationRequired函数实现

YRestrictDriverInstallationToAdministrators函数同样也是通过注册表项来判断,是否可以向Administrator组中安装驱动,如果返回true的话,则会对图 9中61行的判断产生影响,导致无法添加驱动(在v13为false时)。

图 11. YRestrictDriverInstallationToAdministrators函数实现

2. RpcAsyncAddPrinterDriver补丁

在针对RpcAsyncAddPrinterDriver的补丁中,同样增加了对于权限的校验,当YIsElevationReuqred函数返回True时,同样会清除flag中的APD_INSTALL_WARNED_DRIVER项。

图 12. RpcAsyncAddPrinterDriver补丁

五、参考资料

[1]. hhlxf (Jun 29, 2021). PrintNightmare. https://github.com/afwu/PrintNightmare

[2]. MSRC (Jul 06, 2021). Windows Print Spooler Remote Code Execution Vulnerability (CVE-2021-34527). https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527

[3]. Benjamin DELPY (Jul 01, 2021). mimikatz misc::printnightmare little POC. https://github.com/gentilkiwi/mimikatz


文章来源: https://www.freebuf.com/vuls/279876.html
如有侵权请联系:admin#unsafe.sh