Vulnerabilidad Zero-Day en Sistema Operativo Windows (PrintNightmare) – CVE-2021-1675
Nota
Expertos e investigadores han confirmado la falla (CVE-2021-1675), esta se encuentra en la llamada al componente RpcAddPrinterDriver de Windows Print Spooler. Esto permite que un cliente use la referida llamada RPC para agregar un controlador al servidor, el cual es almacenando en el controlador deseado de un directorio local o en el servidor a través de SMB. Luego el cliente asigna un identificador de controlador (DRIVER_INFO_2) e inicializa un DRIVER_CONTAINER, el cual es un objeto que contiene el DRIVER_INFO_2 asignado . El DRIVER_CONTAINER se utiliza dentro de la llamada a RpcAddPrinterDriver. Dicho controlador puede contener código arbitrario que se ejecutaría con privilegios de SISTEMA en el servidor de la víctima y, al mismo tiempo podría ser ejecutado por cualquier usuario que pueda autenticarse en el servicio Spooler.
Siguiendo esa misma línea, confirman fuentes que exploits públicos, funcionan en instalaciones de Windows Server 2019 con parches completos. El servicio vulnerable está habilitado de forma predeterminada en Windows Server, con la excepción de Windows Server Core. Por lo tanto, se espera que en la gran mayoría de los entornos empresariales, todos los controladores de dominio, incluso aquellos que están completamente parcheados, sean vulnerables a la ejecución remota de código por parte de atacantes autenticados.
Formas de Mitigación
Expertos sugieren tomar las siguientes medidas en lo que el fabricante (MICROSOFT) despliega los parches correspondientes.
En Windows con el CMD bajo los privilegios de Administrador ejecutar el siguiente comando:
net stop spoolerEn Windows con el PowerShell con los privilegios de Administrador, ejecutar los siguientes comandos:
Opción 1Stop-Service -Name Spooler -Force
Set-Service -Name Spooler -StartupType Disabled
Opción 2
Uninstall-WindowsFeature Print-Services