Vulnerabilidad 0day de RCE en el servicio Print Spooler de Microsoft Windows

Fecha de publicación: 01/07/2021

Importancia:
Crítica

Recursos afectados:

  • Windows Server 2016;
  • Windows Server 2019;
  • Windows Server 2012 (incluyendo R2);
  • Windows Server 2008 (incluyendo R2, R2 SP1 y R2 SP2);
  • Windows 7, 8.1 y 10 (incluyendo versión 1909);
  • Windows Server, versión 2004;
  • Windows Server, versión 20H2.

Descripción:

Un equipo de investigadores de Sangfor ha notificado una vulnerabilidad 0day crítica denominada PrintNightmare, de tipo ejecución remota de código (RCE), que afecta al servicio Print Spooler de Microsoft Windows.

Previamente, los investigadores, Zhipeng Huo (Tencent), Piotr Madej (AFINE) y Zhang Yunhai (NSFOCUS TIANJI LAB) habían notificado una vulnerabilidad de escalada local de privilegios (LPE), que también afectaba al servicio Print Spooler de Microsoft Windows, y a la que se asignó el identificador CVE-2021-1675.

Solución:

Deshabilitar el servicio Print Spooler de Microsoft Windows, específicamente en sistemas de controladores de dominio (DC) y directorio activo (AD), para lo que se recomienda utilizar un Group Policy Object.

Detalle:

Se han publicado los detalles técnicos y la PoC de una vulnerabilidad 0day, nombrada PrintNightmare, en el servicio Print Spooler de Microsoft Windows, que podría permitir a un atacante realizar una ejecución remota de código (RCE), pudiendo tomar el control de un servidor de dominio de Windows para desplegar el malware en la red de una empresa.

En las actualizaciones de seguridad de Microsoft de junio de 2021 se corrigió la vulnerabilidad CVE-2021-1675, que inicialmente se clasificó con severidad alta y de tipo escalada de privilegios, pero investigaciones posteriores han determinado que el servicio Print Spooler no restringe correctamente el acceso a la función RpcAddPrinterDriverEx(), lo que posibilita a un atacante remoto ejecutar código arbitrario con privilegios de SYSTEM.

Por lo tanto, PrintNightmare es una nueva vulnerabilidad 0day, aún por solucionar, que afecta a Print Spooler y que lo único que tiene en común con CVE-2021-1675 es que el servicio afectado es el mismo en ambas.

Encuesta valoración

Etiquetas:
0day, Comunicaciones, DNS, Infraestructuras críticas, Microsoft, Privacidad, Vulnerabilidad, Windows

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.