Se publica exploit de PoC para vulnerabilidad "PrintNightmare" crítica de RCE de Windows

30 Junio 2021
Crítico

Un exploit de prueba de concepto (PoC) relacionado con una vulnerabilidad de ejecución remota de código que afecta a Windows Print Spooler que Microsoft parcheó en junio de 2021 se hizo público.

CVE-2021-1675 Vulnerabilidad de ejecución remota de código de Windows Print Spooler

CVE-2021-1675, también conocido como "PrintNightmare" se calificó inicialmente como una vulnerabilidad de elevación de privilegios de baja importancia y fue parcheada en el pasado martes de parches de Microsoft de junio de 2021.  Semanas después Microsoft cambió la clasificación de la vulnerabilidad porque se descubrió que la falla permite la ejecución remota de código (RCE) y se reclasificó como crítica debido a que investigadores de la firma de seguridad china QiAnXin publicaron un GIF en Twitter que mostraba un exploit funcional para la falla CVE-2021-1675, pero evitaron revelar los detalles técnicos sobre el ataque.

La explotación de CVE-2021-1675 podría dar a los atacantes remotos el control total de los sistemas vulnerables. Para lograr la ejecución remota de código (RCE), los atacantes deberían apuntar a un usuario autenticado en el servicio de cola de impresión. Sin autenticación, la falla podría aprovecharse para elevar los privilegios, haciendo de esta vulnerabilidad un vínculo valioso en una cadena de ataque.

Windows Print Spooler

Print Spooler es una aplicación/interfaz/servicio que interactúa con impresoras locales o en red y administra el proceso de impresión.

Prueba de concepto PoC

Durante junio, investigadores de la empresa china de ciberseguridad QiAnXin compartieron en Twitter un video/GIF que mostraba un exploit de la vulnerabilidad para lograr RCE.

Unos días después, los investigadores de Sangfor Technologies publicaron y luego eliminaron rápidamente detalles técnicos y exploit de PoC para CVE-2021-1675, pero se estima que el repositorio de GitHub donde lo colocaron fue clonado/bifurcado, lo que ha permitido al día de hoy la aparición en “github.com” de PoC haciendo la siguiente mención:

“PoC creado originalmente por Zhiniang Peng (@edwardzpeng) y Xuefeng Li (@ lxf02942370)”

Panorama

Si bien la vulnerabilidad identificada como CVE-2021-1675 fue parcheada dentro del martes de parches de Microsoft el 8 de junio de 2021. La reciente publicación de la prueba de concepto puede que sea utilizada por ciberactores en ataques dirigidos. Es por eso que es de suma importancia que los usuarios y organizaciones apliquen los parches que Microsoft ha puesto oportunamente a disposición.

Se recomienda lo siguiente:

  • Instalar las actualizaciones disponibles por Microsoft inmediatamente después de las pruebas apropiadas, con prioridad para las vulnerabilidades críticas. Comenzando con sistemas de misión crítica, sistemas con conexión a Internet y servidores en red.
  • Los clientes que ejecutan Windows 7, Windows Server 2008 R2 o Windows Server 2008 pueden comprar la “Actualización de seguridad extendida” para continuar recibiendo actualizaciones de seguridad. Consulte https://support.microsoft.com/en-us/help/4522133/procedure-to-continue-receiving-security-updates para más información. 

El listado de las CVE se adjunta a continuación:


Tags: #Windows #Parche #PrintSpooler #Poc #CVE-2021-1675


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.