• 01 julio, 2021

Vulnerabilidad Zero-Day en Sistema Operativo Windows (PrintNightmare) – CVE-2021-1675

Nota

Expertos e investigadores han confirmado la falla (CVE-2021-1675), esta se encuentra en la llamada al componente RpcAddPrinterDriver de Windows Print Spooler. Esto permite que un cliente use la referida llamada RPC para agregar un controlador al servidor, el cual es almacenando en el controlador deseado de un directorio local o en el servidor a través de SMB. Luego el cliente asigna un identificador de controlador (DRIVER_INFO_2) e inicializa un DRIVER_CONTAINER, el cual es un objeto que contiene el DRIVER_INFO_2 asignado . El DRIVER_CONTAINER se utiliza dentro de la llamada a RpcAddPrinterDriver. Dicho controlador puede contener código arbitrario que se ejecutaría con privilegios de SISTEMA en el servidor de la víctima y, al mismo tiempo podría ser ejecutado por cualquier usuario que pueda autenticarse en el servicio Spooler.

Siguiendo esa misma línea, confirman fuentes que exploits públicos, funcionan en instalaciones de Windows Server 2019 con parches completos. El servicio vulnerable está habilitado de forma predeterminada en Windows Server, con la excepción de Windows Server Core. Por lo tanto, se espera que en la gran mayoría de los entornos empresariales, todos los controladores de dominio, incluso aquellos que están completamente parcheados, sean vulnerables a la ejecución remota de código por parte de atacantes autenticados.

Formas de Mitigación

Expertos sugieren tomar las siguientes medidas en lo que el fabricante (MICROSOFT) despliega los parches correspondientes.

En Windows con el CMD bajo los privilegios de Administrador ejecutar el siguiente comando:

net stop spooler

En Windows con el PowerShell con los privilegios de Administrador, ejecutar los siguientes comandos:

Opción 1
Stop-Service -Name Spooler -Force
Set-Service -Name Spooler -StartupType Disabled

Opción 2
Uninstall-WindowsFeature Print-Services

Fuente: KB-CERT, Rapid7