Microsoft ha publicado un aviso de una nueva vulnerabilidad de Print Spooler (CVE-2021-36958) que permite a los atacantes locales obtener privilegios del sistema en una computadora. La nueva vulnerabilidad está relacionada con otros errores de PrintNightmare que explotan el uso indebido de los ajustes de configuración de la cola de impresión, los controladores de impresión y la funcionalidad de Windows Point and Print.
Microsoft lanzó anteriormente parches para PrintNightmare en julio y agosto, pero un problema descubierto originalmente por el investigador Benjamin Delpy todavía permite a los atacantes obtener rápidamente privilegios de nivel de sistema simplemente conectándose a un servidor de impresión remoto.
La vulnerabilidad utiliza la directiva CopyFile para copiar un archivo DLL que abre un símbolo del sistema para el cliente junto con el controlador de impresión cuando se conecta a una impresora. Aunque las actualizaciones recientes de Microsoft han cambiado la forma de instalar un nuevo controlador de impresora para que ahora requiera derechos de administrador, no se requieren derechos de administrador para conectarse a la impresora si el controlador ya está instalado. Y si el controlador ya existe en el lado del cliente y, por lo tanto, no es necesario instalarlo, la conexión a una impresora remota aún activará CopyFile sin derechos de administrador. Esta vulnerabilidad permite que una DLL se copie en el lado del cliente y se ejecute, abra un símbolo del sistema con privilegios del sistema.
Microsoft ha emitido un aviso de seguridad anunciando una nueva vulnerabilidad en Print Spooler que se rastrea como CVE-2021-36958.
“Una vulnerabilidad de ejecución remota de código está relacionada con la cola de impresión de Windows que realiza incorrectamente operaciones con archivos privilegiados. Un atacante que aproveche con éxito esta vulnerabilidad podría ejecutar código arbitrario con privilegios de SISTEMA. Luego, un atacante puede instalar programas, ver, modificar o eliminar datos, o crear nuevas cuentas con derechos de usuario completos ”, escriben los desarrolladores.
Para protegerse contra este problema, la compañía nuevamente recomienda deshabilitar Print Spooler.
El conocido experto en seguridad de la información y analista de CERT / CC Will Dormann le dijo a Bleeping Computer que la descripción de la vulnerabilidad CVE-2021-36958 es totalmente consistente con el exploit PoC que Delpy publicó en Twitter el 10 de agosto.
Además, los periodistas notaron que Microsoft clasificó esta vulnerabilidad como un problema de ejecución remota de código, aunque el ataque debe realizarse localmente. Will Dorman confirma que se trata claramente de una escalada de privilegios local (basada en una puntuación CVSS de 7,3 / 6,8). El experto cree que el boletín de seguridad se actualizará en los próximos días.
Fuente: https://xakep.ru/
No olvides Compartir...
Siguenos en twitter: @disoftin - @fredyavila
0 Comentarios