Vulnerabilidad 0day en Microsoft Windows Print Spooler
El investigador Benjamin Delpy ha reportado una vulnerabilidad 0day crítica que podría permitir a un atacante ejecutar código arbitrario con privilegios SYSTEM.
Existe una prueba de concepto pública para esta vulnerabilidad, por lo que podría estar siendo explotada activamente.
Por el momento no existe una solución.
El CERT/CC recomienda las siguientes medidas de mitigación:
- Bloquear el tráfico saliente de recursos SMB (Server Message Block) fuera de los límites de una red propia.
- Configurar la política de Windows denominada “Package Point and Print - Approved servers” para restringir el uso de servidores por parte de usuarios sin privilegios administrativos.
Microsoft ha anunciado la vulnerabilidad CVE-2021-34481, que pudiera estar relacionada, y la medida de mitigación recomendada es detener y deshabilitar el servicio Print Spooler.
Una nueva vulnerabilidad 0day de tipo escalada de privilegios en el servicio Microsoft Windows Print Spooler podría permitir a un atacante, sin privilegios de administrador, instalar controladores (drivers) de una impresora remota a través de la funcionalidad Point and Print instalando librerías arbitrarias, junto con el controlador de la cola de impresión, que se ejecutarían con privilegios SYSTEM.