Los exploits de prueba de concepto (PoC) relacionados con las vulnerabilidades de ejecución remota de código que afectan a Windows Print Spooler y que Microsoft solucionó a principios de este mes se publicaron brevemente en línea antes de eliminarse.
Un problema de seguridad identificado como CVE-2021-1675 podría dar a los atacantes remotos control total sobre los sistemas vulnerables. Print Spooler administra el proceso de impresión de Windows, incluida la carga de los controladores de impresora apropiados y la programación de un trabajo de impresión para imprimir.
Los errores de Print Spooler son preocupantes, no solo por la amplia área de ataque, sino también porque se ejecuta en el nivel de permiso más alto y es capaz de cargar dinámicamente binarios de terceros.
El creador de Windows abordó la vulnerabilidad como parte de su actualización Patch Tuesday el 8 de junio de 2021. Pero casi dos semanas después, Microsoft revisó el impacto del error de promoción de Remote Code Execution Elevation (RCE) y también actualizó el nivel de gravedad de Critical a Crítico.
«El atacante explota la vulnerabilidad accediendo al sistema de destino localmente (p. ej., teclado, consola) o de forma remota (p. ej., SSH); o un atacante confía en que el usuario de otra persona tome medidas para explotar una vulnerabilidad (como lograr que un usuario legítimo abra un documento malicioso)”, dijo Microsoft en un comunicado.
Las cosas cambiaron cuando a principios de esta semana, la empresa de seguridad china QiAnXin publicado pudo encontrar los «enfoques correctos» para explotar el error, demostrando así una utilización exitosa para lograr RCE.
Aunque los investigadores se abstuvieron de compartir otras especificaciones técnicas, la empresa de ciberseguridad de Hong Kong, Sangfor, publicó una encuesta independiente en profundidad sobre la misma vulnerabilidad en GitHub, junto con un código PoC completamente funcional, donde permaneció disponible públicamente antes de desconectarse. unas pocas horas después.
Sangfor llamó a la vulnerabilidad «PrintNightmare».
«Hemos eliminado PoC PrintNightmare. Para mitigar esta vulnerabilidad, actualice Windows a la última versión o desactive Spooler». tuiteó Investigador jefe de seguridad Sangforu Zhiniang Peng. Se espera que los hallazgos se presenten en la conferencia Black Hat USA el próximo mes.
Windows Print Spooler ha sido durante mucho tiempo una fuente de vulnerabilidades de seguridad, y Microsoft solucionó al menos tres problemas solo en el último año: CVE-2020-1048, CVE-2020-1300 y CVE-2020-1337. La falla en el servicio también se aprovechó para obtener acceso remoto y propagar el gusano Stuxnet en 2010, que tenía como objetivo las instalaciones nucleares de Irán.
Actualizaciones – Ahora hay indicios de que la solución lanzada por Microsoft para la vulnerabilidad de ejecución remota crítica de código en Windows Print Spooler en junio no elimina por completo la causa raíz del error, según el CERT, lo que aumenta la posibilidad de que sea cero. -Error de día que necesita reparación.
«Aunque Microsoft lanzó una actualización para CVE-2021-1675, es importante tener en cuenta que esta actualización no aborda las vulnerabilidades públicas que también se identifican como CVE-2021-1675», Will Dormann de CERT/CC él dijo en una nota sobre vulnerabilidad publicada el miércoles.
Vale la pena señalar que el uso exitoso de CVE-2021-1675 podría abrir la puerta a la toma completa del sistema por parte de adversarios remotos. Le hemos pedido a Microsoft un comentario y actualizaremos la historia tan pronto como regresemos.
A la luz de la información más reciente, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) recomienda que los administradores «desactiven el servicio de cola de impresión de Windows en los controladores de dominio y los sistemas que no son de impresión».
