🖨️

CVE-2021-34527

0. Abstract

CVE-2021-34527은 PrintNightmare로도 알려져 있는, Printer Spooler에서 발생하는 취약점입니다. 본 장에서는 Printer Spooler가 어떤 역할을 하는지, 그리고 해당 1-day가 어떻게 발생하는지 분석했습니다. 해당 이야기는 다음 포스트에서 다루고 있습니다.

1. Vulnerability Analysis

취약점을 분석하기에 앞서 알고 있어야하는 배경지식 및 취약점이 발생하는 부분에 대해서 설명하도록 하겠습니다.

Printing Architecture

Windows의 프린트 과정은 크게 Client, Spooler, Server 프로세스를 거쳐 진행됩니다. Client가 프린트를 요청하는 경우 Printer Server가 이를 전달받아 프린트를 진행하는 방식이며, 그 중간에서 Printer Spooler가 스케줄링 및 관리를 담당합니다.

Windows Printing Process.[1]

Printer Spooler

앞서 간단히 설명한 것처럼, Print Spooler는 Windows 10에서 기본적으로 제공하는 서비스이며, 윈도우에서 프린트를 사용할 때 작업 스케줄링 등의 기능들을 관리합니다.

Windows Printing Process(In detail).[1]

Windows의 프린트 과정은 위와 같습니다. 위 그림에서 Spooler가 수행하는 과정은 빨간색 부분입니다. Client와 server는 RPC통신을 수행한다는 점, 그리고 Localspl.dll에서 Print Spooler가 동작 시 필요한 함수를 실행시킨다는 점이 핵심입니다. 본 글에서는 취약점을 발생시키는 Localspl.dll를 중점적으로 분석하도록 하겠습니다.

Attack Vector Analysis

본 취약점은 프린터를 업데이트하거나, 새로 설치하는 과정에서 트리거됩니다. 문제가 되는 함수는 Localspl.dll안에 위치하고 있는 SplAddPrinterDriver() 함수입니다. 본 함수는 프린터를 새로 추가할 때 실행되는 함수입니다. SplAddPrinterDriver의 일반적인 함수 흐름은 아래와 같습니다.

1.  CacheAddName, MyName: 프린터 정보를 받아옴
2.  _bittest: 특정 위치의 비트를 검사
3.  ValidateObjectAccess: 적절하지 않은 권한을 가지고 있는지 검증
4.  InternalAddPrinterDriverEx: 프린터 드라이버를 설치하는 함수
Python
복사

SplAddPrinterDriverEx() 일부.

위는 SplAddPrinterDriverEx()함수의 일부입니다. 21번부터 26번까지 코드를 보면, _bittest()와 ValidateObjectAccess() 함수를 통해 검증을 진행하는 것을 알 수 있습니다. 이 두 함수를 통해 권한을 가지고 있는지 검증을 합니다. 그리고 그 결과를 기반으로 드라이버를 설치하는 함수인 InternalAddPrintDriverEx() 함수가 실행됩니다.

취약점은 첫 번째 if문인 _bittest()에서 발생합니다. 본 함수는 &a4 파라미터를 이용해 검사를 진행하지만, &a4는 user권한으로도 조작할 수 있기 때문에 검증 로직을 우회할 수 있습니다. 따라서 이를 통해 권한이 없는 프린터 드라이버도 InternalAddPrintDriver-Ex() 함수를 통해 설치할 수 있습니다.

InternalAddPrintDriverEx() 함수의 전반적인 과정은 다음과 같습니다. 공격을 수행할 경우, 공격자가 삽입하고자 하는 DLL은 6번 과정에서 삽입됩니다.

 ValidateDriverInfo: 클라이언트가 보낸 드라이버 데이터를 가져와서 드라이버의 서명과 파일의 형식을 확인
 CreateInternalDriverFileArray: Spooler 디렉토리에 드라이브 파일 생성
 GetPrintDriverVerison: 드라이버 버전 추출
 CheckFilePlatform: 드라이버 및 데이터 파일의 플랫폼 검사.
 CreateVersionDirectory: 버전 디렉토리 생성
 CopyFilesToFinalDirectory: old 혹은 새로운 임시 하위 디렉토리에 드라이버를 복사
 WaitRequredForDriverUnload: 드라이버 로드를 담당
Python
복사

PoC Analysis

CVE-2021-34527은 localspl.dll에서 발생하는 검증 우회를 기반으로 구현되는 RCE 취약점입니다. 실제 RCE공격은 이를 기반으로 두 번에 걸쳐 이루어지며, 자세한 내용은 다음과 같습니다. 첫 번째 공격에서는 flag를 조작하여 권한 검증을 bypass합니다. 이 방법을 통해서는 공격자의 악성 DLL이 대상 Windows에 삽입됩니다. 그 다음으로는 RpcAddPrinterDriverEx()함수를 호출하여 악성 DLL을 실행합니다. 이때 Spooler.exe는 기본적으로 SYSTEM권한을 가지고 있기 때문에, 악성 DLL 또한 SYSTEM권한을 가지고 실행되게 됩니다.

PoC코드 일부.

2. Reproduction

저는 취약점 분석에 이어서 실제 Windows 10 머신에 1-day를 재현해보았습니다. 본 취약점을 재현하기 위해 사용한 환경은 다음과 같습니다.

Attacker PC: Ubuntu 20.04
Victim PC: Windows 10 Pro (1909, ver 10.0.18363.418)

환경 설정

CVE-2021-34527를 재현하기 위해서는 각 Attacker PC와 Victim PC에서 환경 설정을 해주어야 합니다.

먼저 Victim PC(Windows)입니다. Microsoft는 몇 차례에 걸쳐(KB5004945, KB5005652 등) 이를 패치하였습니다. 처음에는 저 KB version에 대한 패치가 이루어지지 않은 Windows를 구하려고 했으나, 결국 패치의 내용과 반대로 레지스트리를 설정하는 방법으로 롤백을 하였습니다. 수정한 내용은 다음과 같습니다.

•

Spooler Service ON

•

PointAndPrint 관련 레지스트리 추가

Spooler 구동 및 레지스트리가 설정된 모습

•

RPC Server Start

•

Printer Configuration 중 ‘Allow Print Spooler to accept client connections’ 설정

필요한 Spooler configuration을 킨 모습

다음은 Attacker PC(Ubuntu)입니다. Attacker PC에서는 크게 두 가지를 먼저 설정해야 합니다.

•

Impacket 설치 (impacket)

•

Samba 서버 start (※ /etc/samba/smb.conf 설정)

1-Day Reproduction

다음과 같은 환경 설정을 기반으로, 저는 CVE-2021-34527을 활용하여 RCE 공격을 수행하였습니다. 이 취약점을 통해 공격자의 서버로 리버스 쉘을 연결하는 악성 DLL을 Windows에 설치할 수 있었고, 결론적으로 리버스 쉘을 얻어 Windows 머신을 장악할 수 있었습니다. 시연 영상은 아래와 같습니다.

3. Mitigations

우선 Windows를 업데이트를 하는 것이 가장 바람직합니다. 다만 업데이트를 할 수 있는 여건이 되지 않는다면, 몇 가지 설정을 통해 예방할 수 있습니다. 본 취약점은 Print Spooler에서 발생하는 취약점이기 때문에, Print Spooler를 끄는 것이 가장 바람직합니다. 또한 PointAndPrint 레지스터를 지우는 것 또한 필수적이라고 볼 수 있습니다.

Microsoft는 본 취약점에 대한 패치를 KB5005652에서 진행하였습니다. 패치 이후의 Spooler를 확인해본 결과, RpcAddPrinterDriverEx()함수에서 권한을 확인하는 과정을 추가한 것을 확인할 수 있었습니다.

RpcAddPrinterDriverEx 의 일부

4. Conclusion

본 취약점은 큰 제약없이 trigger할 수 있는 취약점이라 더 파급력이 컸던 것 같습니다. 글을 쓰는 이 시점에서는 시간이 많이 지났지만, 사용자가 어디까지 접근할 수 있는지, privilege escalation이 가능한 것은 아닌지 관찰하는 것은 필수적인 것 같습니다.

5. References

[1] Microsoft, Basic Printing Architecture: https://techcommunity.microsoft.com/t5/ask-the-performance-team/basic-printing-architecture/ba-p/372420

[2] Microsoft, Introduction to Spooler Components: https://docs.microsoft.com/en-us/windows-hardware/drivers/print/introduction-to-spooler-components

[3] Microsoft, KB5005652 Patch Review: https://support.microsoft.com/en-gb/topic/kb5005652-manage-new-point-and-print-default-driver-installation-behavior-cve-2021-34481-873642bf-2634-49c5-a23b-6d8e9a302872

[4] Github, cube0x0/CVE-2021-1675: https://github.com/cube0x0/CVE-2021-1675