Un exploit de prueba de concepto (PoC) relacionado con una vulnerabilidad de ejecución remota de código que afecta a Windows Print Spooler y parcheado por Microsoft a principios de este mes se publicó brevemente en línea antes de ser eliminado.
Identificado como CVE-2021-1675 , el problema de seguridad podría otorgar a los atacantes remotos el control total de los sistemas vulnerables. Print Spooler administra el proceso de impresión en Windows, incluida la carga de los controladores de impresora adecuados y la programación del trabajo de impresión para imprimir, entre otros.
Las fallas de Print Spooler son preocupantes, no solo por la amplia superficie de ataque, sino también por el hecho de que se ejecuta en el nivel de privilegio más alto y es capaz de cargar dinámicamente binarios de terceros.
El fabricante de Windows abordó la vulnerabilidad como parte de su actualización Patch Tuesday el 8 de junio de 2021. Pero casi dos semanas después, Microsoft revisó el impacto de la falla de una elevación de privilegios a la ejecución remota de código (RCE) y actualizó el nivel de gravedad de Importante para Critical.
"El atacante aprovecha la vulnerabilidad accediendo al sistema de destino de forma local (p. Ej., Teclado, consola) o de forma remota (p. Ej., SSH); o el atacante confía en la interacción del usuario de otra persona para realizar las acciones necesarias para aprovechar la vulnerabilidad (p. Ej., engañar a un usuario legítimo para que abra un documento malicioso ", dijo Microsoft en su aviso.
Las cosas dieron un giro cuando la empresa de seguridad china QiAnXin a principios de esta semana reveló que pudo encontrar los "enfoques correctos" para aprovechar la falla, demostrando así una explotación exitosa para lograr RCE.
Aunque los investigadores se abstuvieron de compartir detalles técnicos adicionales, la compañía de ciberseguridad con sede en Hong Kong Sangfor publicó lo que es un análisis profundo independiente de la misma vulnerabilidad, junto con un código PoC completamente funcional para GitHub, donde permaneció accesible al público antes de que fuera desconectado un unas horas más tarde.
Sangfor nombró en código a la vulnerabilidad "PrintNightmare".
"Eliminamos el PoC de PrintNightmare. Para mitigar esta vulnerabilidad, actualice Windows a la última versión o desactive el servicio Spooler", tuiteó el investigador principal de seguridad de Sangfor, Zhiniang Peng. Se espera que los hallazgos se presenten en la conferencia Black Hat USA el próximo mes.
Windows Print Spooler ha sido durante mucho tiempo una fuente de vulnerabilidades de seguridad, y Microsoft solucionó al menos tres problemas, CVE-2020-1048 , CVE-2020-1300 y CVE-2020-1337 , solo en el último año. En particular, también se abusó de una falla en el servicio para obtener acceso remoto y propagar el gusano Stuxnet en 2010 contra las instalaciones nucleares iraníes.
Fuente: https://thehackernews.com/
No olvides Compartir...
Siguenos en twitter: @disoftin - @fredyavila
0 Comentarios