El 1 de Julio Microsoft acuñaba el CVE-2021-34527, “Windows Print Spooler Remote Code Execution Vulnerability”, una vulnerabilidad que, como su propio nombre indica, afecta al servicio de cola de impresión de Windows.
La vulnerabilidad, para la que aún no existe parche, permitiría la ejecución de código remoto en los sistemas con dicho servicio, incluso desde las cuentas de usuarios que sólo tienen permisos básicos. Una vez explotada, el atacante podría ejecutar código arbitrario con privilegios SYSTEM.
Es la segunda vulnerabilidad que afecta a este servicio en menos de dos meses. El 8 de Junio Microsoft registraría la vulnerabilidad CVE-2021-1675, “Windows Print Spooler Elevation of Privilege Vulnerability”, posteriormente actualizada el 21 de Junio Microsoft. La actualización consistió en cambiar su nivel de criticidad de bajo a alto, e indicar la posibilidad de ejecución remota de código (por lo que en la documentación de Microsoft vemos el nuevo nombre). Sin embargo, pese a sus aparentes similitudes, son vulnerabilidades distintas. De hecho, si consultamos las entradas de Microsoft para sendas vulnerabilidades, puede verse cómo CVE-2021-1675 cuenta con solución oficial, mientras que CVE-2021-34527 tan sólo se encuentra parcialmente resuelta.
La prueba de concepto que ha dado pie a la definición de este nuevo CVE se dio a conocer como PrintNightmare, y de ahí que toda esta historia se pueda seguir a través de dicho nombre.
La entrada de INCIBE que informa sobre esta vulnerabilidad se ha actualizado (2 de Julio) para aportar información sobre las acciones para mitigar el efecto de la vulnerabilidad. Otro artículo de interés en el que se ofrecen recomendaciones es el publicado desde Splunk. Las recomendaciones pasan sobre todo por comprobar qué servidores tienen el servicio afectado habilitado o activo, y deshabilitar la funcionalidad que permite actuar como servidor de impresión. Desde BreachQuest recomiendan habilitar el registro de eventos de impresión, que se encuentra deshabilitado por defecto (Print Service-Operational). Además, algunos investigadores han arrojado luz sobre la operativa que permitiría la explotación de la vulnerabilidad.
Cabe destacar que, aún con los parches del 21 de Junio, el ‘exploit’ podría afectar a los controladores de dominio. Es este el escenario que a día de hoy más preocupación causa, ya que permitiría el escalado de privilegios en entornos ActiveDirectory. Se recomienda realizar las comprobaciones oportunas para identificar aquellos equipos vulnerables, prestar especial atención a las actualizaciones sobre esta vulnerabilidad y parchear lo antes posible.
Más información:
I Pity the Spool: Detecting PrintNightmare CVE-2021-34527. Mauricio Velazco. Splunk. 2 July 2021. https://www.splunk.com/en_us/blog/security/i-pity-the-spool-detecting-printnightmare-cve-2021-34527.html
Vulnerabilidad crítica en Print Spooler de Microsoft Windows. INCIBE. 1/07/2021. https://www.incibe.es/protege-tu-empresa/avisos-seguridad/vulnerabilidad-critica-print-spooler-microsoft-windows
Deja una respuesta