La vulnerabilidad denominada PrintNightmare reside en el servicio Print Spooler (spoolsv.exe) que administra el proceso de impresión y afecta a todas las versiones del sistema operativo Windows. Microsoft abordó la falla con el lanzamiento de las actualizaciones de seguridad del martes de parches de junio de 2021 de Microsoft (PARCHEA!).

CVE-2021-1675 se calificó inicialmente como una vulnerabilidad de elevación de privilegios de baja importancia, pero recientemente se revisó el problema y lo etiquetó como una falla de ejecución remota de código (RCE).

La semana pasada, investigadores de la firma de seguridad china QiAnXin publicaron un GIF que mostraba un exploit funcional para la falla CVE-2021-1675, pero evitaron revelar los detalles técnicos sobre el ataque.

Recently, we found right approaches to exploit #CVE-2021-1675 successfully, both #LPE and #RCE. It is interesting that the vulnerability was classified into #LPE only by Microsoft, however, it was changed into Remote Code Execution recently.https://t.co/PQO3B12hoE pic.twitter.com/kbYknK9fBw
— RedDrip Team (@RedDrip7) June 28, 2021

Sin embargo, The Record notó que la disponibilidad de un exploit PoC completamente funcional en GitHub el día de hoy, el código probablemente se publicó accidentalmente y el repositorio de GitHub se eliminó después de unas horas.

«Escrito por tres analistas de la firma de seguridad china Sangfor, el artículo, que no enlazaremos aquí, detalla cómo el trío descubrió el error independientemente de los equipos que informaron la vulnerabilidad a Microsoft», informó The Record.

Parece que el trío decidió publicar el PoC después de que los investigadores de QiAnXin compartieran el video del exploit CVE-2021-1675. Los expertos retiraron el PoC unas horas después porque lo presentarán en la conferencia de seguridad Black Hat USA 2021 a finales de este año.

Los actores de amenazas probablemente intentarán explotar el problema en ataques en el testamento en las próximas semanas.

Hasta actualizar, se recomienda, si es posible, deshabiliar el servicio de spooler o desinstalarlo porque el parche de junio no protege completamente contra las PoC disponibles:

Stop-Service Spooler
REG ADD  "HKLM\SYSTEM\CurrentControlSet\Services\Spooler" /v "Start " /t REG_DWORD /d "4" /f

Uninstall-WindowsFeature Print-Services

Fuente y redacción: segu-info.com.ar

Compartir