CVE-2021-1675 es una vulnerabilidad crítica de Windows con una prueba de concepto disponible que podría permitir que atacantes remotos ejecuten código. El código PoC se compartió en GitHub a principios de esta semana., y retirado en unas pocas horas. Sin embargo, estas pocas horas fueron suficientes para que se copiara el código.
La vulnerabilidad PrintNightmare
La vulnerabilidad se ha denominado PrintNightmare., tal como existe en la cola de impresión de Windows. Inicialmente se abordó en Patch Tuesday del mes pasado como un problema insignificante de elevación de privilegios. Sin embargo, Los investigadores de seguridad de Tencent y NSFOCUS TIANJI Lab descubrieron que el error CVE-2021-1675 podría implementarse para Ataques RCE, cambiando automáticamente su estado a crítico:
Cuando se reveló originalmente en la actualización del martes de parches de junio, se describió como una vulnerabilidad de elevación de privilegios de baja gravedad. Esa designación se actualizó en junio 21 para indicar una gravedad crítica y el potencial de RCE. El descubrimiento se atribuyó a Zhipeng Huo de Tencent Security Xuanwu Lab, Piotr Madej de AFINE y Yunhai Zhang de NSFOCUS TIANJI Lab, de acuerdo a Informe de Tenable.
De acuerdo con el investigador de seguridad Marius Sandbu, “La vulnerabilidad en sí es posible porque, El servicio de cola de impresión de Microsoft Windows no puede restringir el acceso a RpcAddPrinterDriverEx() función, que puede permitir que un atacante autenticado de forma remota ejecute código arbitrario con privilegios de SISTEMA en un sistema vulnerable ".
Los productos de Microsoft afectados incluyen todos los sistemas operativos de Windows 7 a Windows 10, y todo desde el servidor 2008 al servidor 2019, según Dirk Schrader, vicepresidente global de investigación de seguridad en New Net Technologies (NNT), quien compartió su conocimiento con ThreatPost.
CVE-2021-1675 Explotación
La explotación de la vulnerabilidad PrintNightmare podría permitir a los atacantes remotos obtener un control total sobre los sistemas afectados. La ejecución remota de código se puede lograr apuntando a un usuario autenticado en el servicio de cola de impresión.
"Sin autenticación, la falla podría aprovecharse para elevar privilegios, hacer de esta vulnerabilidad un eslabón valioso en una cadena de ataque,"Tenable agregó.
Cabe señalar que este no es el primer problema de Windows Print Spooler identificado por los investigadores.. Como una cuestión de hecho, el servicio tiene un largo historial de vulnerabilidades. Por ejemplo, tales fallas se asociaron con los infames ataques de Stuxnet.
Un ejemplo más reciente incluye CVE-2020-1337, un spooler de impresión de día cero revelado durante el Black Hat y el DEF CON de 2020. La falla fue un bypass de parche para CVE-2020-1048, otro error de Windows Print Spooler corregido en mayo 2020.
Los investigadores también señalan que el parche disponible puede no ser completamente efectivo. Sin embargo, otras mitigaciones son posibles, como desconectar la cola de impresión. Finalmente, la mayoría de los endpoints estarían a salvo contra el exploit PrintNightmare con las reglas predeterminadas del Firewall de Windows incorporado.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: