Inicio / Content / Boletín de INCIBE-CERT del 02-07-2021

Boletín de INCIBE-CERT del 02-07-2021

[Actualización 07/07/2021] Vulnerabilidad 0day de RCE en el servicio Print Spooler de Microsoft Windows

Fecha de publicación: 
01/07/2021
Importancia: 
5 - Crítica
Recursos afectados: 
  • Windows Server 2016;
  • Windows Server 2019;
  • Windows Server 2012 (incluyendo R2);
  • Windows Server 2008 (incluyendo R2, R2 SP1 y R2 SP2);
  • Windows 7, 8.1 y 10 (incluyendo versión 1909);
  • Windows Server, versión 2004;
  • Windows Server, versión 20H2.
Descripción: 

Un equipo de investigadores de Sangfor ha notificado una vulnerabilidad 0day crítica denominada PrintNightmare, de tipo ejecución remota de código (RCE), que afecta al servicio Print Spooler de Microsoft Windows.

Previamente, los investigadores, Zhipeng Huo (Tencent), Piotr Madej (AFINE) y Zhang Yunhai (NSFOCUS TIANJI LAB) habían notificado una vulnerabilidad de escalada local de privilegios (LPE), que también afectaba al servicio Print Spooler de Microsoft Windows, y a la que se asignó el identificador CVE-2021-1675.

Solución: 

Deshabilitar el servicio Print Spooler de Microsoft Windows, específicamente en sistemas de controladores de dominio (DC) y directorio activo (AD), para lo que se recomienda utilizar un Group Policy Object.

[Actualización 02/07/2021] Se ha proporcionado un nuevo workaround, que consiste en restringir las listas de control de accesos (ACLs), para hacer que el exploit no sea efectivo, mientras que se permite mantener sus servidores de impresión en funcionamiento, hasta que un parche esté disponible. IMPORTANTE: se debería comprobar su efectividad en entornos de prueba/desarrollo antes de aplicarlo en entornos de producción.

[Actualización 07/07/2021] Microsoft ha publicado una actualización fuera de ciclo para solucionar esta vulnerabilidad.

Detalle: 

Se han publicado los detalles técnicos y la PoC de una vulnerabilidad 0day, nombrada PrintNightmare, en el servicio Print Spooler de Microsoft Windows, que podría permitir a un atacante realizar una ejecución remota de código (RCE), pudiendo tomar el control de un servidor de dominio de Windows para desplegar el malware en la red de una empresa.

En las actualizaciones de seguridad de Microsoft de junio de 2021 se corrigió la vulnerabilidad CVE-2021-1675, que inicialmente se clasificó con severidad alta y de tipo escalada de privilegios, pero investigaciones posteriores han determinado que el servicio Print Spooler no restringe correctamente el acceso a la función RpcAddPrinterDriverEx(), lo que posibilita a un atacante remoto ejecutar código arbitrario con privilegios de SYSTEM.

Por lo tanto, PrintNightmare es una nueva vulnerabilidad 0day, aún por solucionar, que afecta a Print Spooler y que lo único que tiene en común con CVE-2021-1675 es que el servicio afectado es el mismo en ambas.

[Actualización 02/07/2021] Se ha asignado el identificador CVE-2021-34527 para la vulnerabilidad PrintNightmare.

Encuesta valoración