Selam arkadaşlar, bugün biraz eski ama hala efsane olan PrintNightmare (CVE-2021-1675) konusunu kazıyalım. Çoğu insan sadece Metasploit modülünü çalıştırıp geçiyor ama işin arkasındaki RPC çağrıları ve impersonation mekanizması bayağı ilginç.
Öncelikle zafiyet, Print Spooler servisinin RPC arayüzündeki yetersiz yetkilendirmeden kaynaklanıyor. Normalde bir kullanıcı spooler üzerinden driver yükleyememeli ama impersonation token’ı doğru şekilde ele geçirilirse SYSTEM context’ine çıkmak mümkün hale geliyor.
Hidden content - for more
Konuyu Görebilmeniz için "Beğenmeniz ve Yorum yapmaniz" Gerekir.
Gerçek hayatta exploit yazarken en kritik nokta, yüklenen DLL’in SYSTEM tarafından çağrılması için doğru şekilde kayıt edilmesi. Birçok kişi spooler servisini restart etmeyi unutuyor, o yüzden exploit yarıda kalıyor.
Ayrıca driver dosyasının imzalanma zorunluluğunu bypass etmek için UNC path’lerle \\IP\share\evil.dll şeklinde uzaktan yükleme yapmak gerekiyor. Bu kısım network segmentasyonuna göre bazen çok kolay bazen de imkansız olabiliyor.
Eğer makinede Point and Print özelliği açıksa işiniz bayağı kolaylaşıyor. Yoksa ekstra bir RPC çağrısıyla o ayarı da açmak lazım. Bu tarz küçük detaylar exploit’in kararlılığını direkt etkiliyor.
