Se han publicado los detalles técnicos y la PoC de una vulnerabilidad 0day, nombrada PrintNightmare, en el servicio Print Spooler de Microsoft Windows, que podría permitir a un atacante realizar una ejecución remota de código (RCE), pudiendo tomar el control del Controlador de Dominio de Windows para desplegar el malware en la red de una empresa.
En las actualizaciones de seguridad de Microsoft de junio de 2021 se corrigió la vulnerabilidad CVE-2021-1675, que inicialmente se clasificó con severidad alta y de tipo escalada de privilegios, pero investigaciones posteriores han determinado que el servicio Print Spooler no restringe correctamente el acceso a la función RpcAddPrinterDriverEx(), lo que posibilita a un atacante remoto ejecutar código arbitrario con privilegios de SYSTEM.
PrintNightmare es una nueva vulnerabilidad 0-day, aún por solucionar, que afecta a Print Spooler y que lo único que tiene en común con CVE-2021-1675 es que el servicio afectado es el mismo en ambas.
Los sistemas afectados son: Windows Server 2016, 2019, 2012, 2008, 2004 y 20H2; Windows 7, 8.1 y 10.
La explotación de CVE-2021-1675 podría dar a los atacantes remotos el control total de los sistemas vulnerables.
Para mitigar la vulnerabilidad se recomienda:
- Deshabilitar el servicio Print Spooler de Microsoft Windows, específicamente en sistemas de controladores de dominio (DC) y directorio activo (AD), para lo que se recomienda utilizar un Group Policy Object.
- Para ambientes de prueba y/o desarrollo: Se ha proporcionado una nueva estrategia de defensa, que consiste en restringir las listas de control de accesos (ACLs), para hacer que el exploit no sea efectivo, mientras que se permite mantener sus servidores de impresión en funcionamiento, hasta que un parche esté disponible.
Más información:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-1675