1. Alertas de Seguridad
  2. Prueba de concepto para vulnerabilidad crítica de ejecución remota de código en Windows

Prueba de concepto para vulnerabilidad crítica de ejecución remota de código en Windows

Fecha de publicación: Jue, 01/07/2021 - 09:26

 

La vulnerabilidad identificada con CVE-2021-1675 afecta al servicio Print Spooler que administra el proceso de impresión de Windows incluida la carga de los controladores de impresora adecuados y la programación del trabajo de impresión para imprimir, entre otros. La explotación de esta vulnerabilidad permitiría a atacantes remotos obtener el control total de los sistemas vulnerables.

Las vulnerabilidades que afecta a Print Spooler pueden llegar a impactar de forma preocupante al sistema, no solo por la amplia superficie de ataque, sino también por el hecho de que se ejecuta en el nivel de privilegio más alto y es capaz de cargar dinámicamente binarios de terceros.

El día martes 8 de junio de 2021 Windows publicó como parte de su actualización el parche respectivo para esta vulnerabilidad en ese entonces catalogada con criticidad Importante, sin embargo Microsoft revisó el impacto de la falla de una elevación de privilegios a la ejecución remota de código (RCE) y actualizó el nivel de gravedad a Crítica.

"El atacante aprovecha la vulnerabilidad accediendo al sistema de destino de forma local (p. Ej., Teclado, consola) o de forma remota (p. Ej., SSH); o el atacante confía en la interacción del usuario de otra persona para realizar las acciones necesarias para aprovechar la vulnerabilidad (p. Ej., engañar a un usuario legítimo para que abra un documento malicioso", dijo Microsoft en su aviso.

Sin embargo la empresa China QiAnXin a principios de esta semana reveló que pudo demostrar una explotación exitosa de RCE. Aunque los investigadores se abstuvieron de compartir detalles técnicos adicionales, la compañía de ciberseguridad con sede en Hong Kong Sangfor publicó lo que es un análisis profundo independiente de la misma vulnerabilidad, junto con un código PoC completamente funcional para GitHub, donde permaneció accesible al público antes de que fuera desconectado unas horas más tarde.

Sangfor nombró el código de la vulnerabilidad "PrintNightmare".

"Eliminamos el PoC de PrintNightmare, para mitigar esta vulnerabilidad, actualice Windows a la última versión o desactive el servicio Spooler", tuiteó el investigador principal de seguridad de Sangfor, Zhiniang Peng. Se espera que los hallazgos se presenten en la conferencia Black Hat USA el próximo mes.

"Si bien Microsoft ha lanzado una actualización para CVE-2021-1675, es importante resaltar que esta actualización no aborda los exploits públicos que también se identifican como CVE-2021-1675", dijo Will Dormann de CERT / CC en una nota de la vulnerabilidad publicada.

A la luz de la última divulgación, la Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) recomienda que los administradores "deshabiliten el servicio de cola de impresión de Windows en los controladores de dominio y los sistemas que no imprimen".

Referencias

https://thehackernews.com/2021/06/researchers-leak-poc-exploit-for.html