[Actualización 07/07/2021] Vulnerabilidad 0day de RCE en el servicio Print Spooler de Microsoft Windows

Fecha de publicación 01/07/2021
Importancia
5 - Crítica
Recursos Afectados
  • Windows Server 2016;
  • Windows Server 2019;
  • Windows Server 2012 (incluyendo R2);
  • Windows Server 2008 (incluyendo R2, R2 SP1 y R2 SP2);
  • Windows 7, 8.1 y 10 (incluyendo versión 1909);
  • Windows Server, versión 2004;
  • Windows Server, versión 20H2.
Descripción

Un equipo de investigadores de Sangfor ha notificado una vulnerabilidad 0day crítica denominada PrintNightmare, de tipo ejecución remota de código (RCE), que afecta al servicio Print Spooler de Microsoft Windows.

Previamente, los investigadores, Zhipeng Huo (Tencent), Piotr Madej (AFINE) y Zhang Yunhai (NSFOCUS TIANJI LAB) habían notificado una vulnerabilidad de escalada local de privilegios (LPE), que también afectaba al servicio Print Spooler de Microsoft Windows, y a la que se asignó el identificador CVE-2021-1675.

Solución

Deshabilitar el servicio Print Spooler de Microsoft Windows, específicamente en sistemas de controladores de dominio (DC) y directorio activo (AD), para lo que se recomienda utilizar un Group Policy Object.

[Actualización 02/07/2021] Se ha proporcionado un nuevo workaround, que consiste en restringir las listas de control de accesos (ACLs), para hacer que el exploit no sea efectivo, mientras que se permite mantener sus servidores de impresión en funcionamiento, hasta que un parche esté disponible. IMPORTANTE: se debería comprobar su efectividad en entornos de prueba/desarrollo antes de aplicarlo en entornos de producción.

[Actualización 07/07/2021] Microsoft ha publicado una actualización fuera de ciclo para solucionar esta vulnerabilidad.

Detalle

Se han publicado los detalles técnicos y la PoC de una vulnerabilidad 0day, nombrada PrintNightmare, en el servicio Print Spooler de Microsoft Windows, que podría permitir a un atacante realizar una ejecución remota de código (RCE), pudiendo tomar el control de un servidor de dominio de Windows para desplegar el malware en la red de una empresa.

En las actualizaciones de seguridad de Microsoft de junio de 2021 se corrigió la vulnerabilidad CVE-2021-1675, que inicialmente se clasificó con severidad alta y de tipo escalada de privilegios, pero investigaciones posteriores han determinado que el servicio Print Spooler no restringe correctamente el acceso a la función RpcAddPrinterDriverEx(), lo que posibilita a un atacante remoto ejecutar código arbitrario con privilegios de SYSTEM.

Por lo tanto, PrintNightmare es una nueva vulnerabilidad 0day, aún por solucionar, que afecta a Print Spooler y que lo único que tiene en común con CVE-2021-1675 es que el servicio afectado es el mismo en ambas.

[Actualización 02/07/2021] Se ha asignado el identificador CVE-2021-34527 para la vulnerabilidad PrintNightmare.

Encuesta valoración

Listado de referencias
[Actualización 02/07/2021] PrintNightmare, Critical Windows Print Spooler Vulnerability
[Actualización 02/07/2021] VU#383432 - Microsoft Windows Print Spooler RpcAddPrinterDriverEx() function allows for RCE
Windows Print Spooler Remote Code Execution Vulnerability CVE-2021-1675
[Actualización 02/07/2021] Security Advisory 2021-033 Vulnerabilities in Microsoft Print Spooler
PrintNightmare (CVE-2021-1675): Remote code execution in Windows Spooler Service
[Actualización 02/07/2021] Public Windows PrintNightmare 0-day exploit allows domain takeover
[Actualización 02/07/2021] Fix for PrintNightmare CVE-2021-34527 exploit to keep your Print Servers running while a patch is not available
[Actualización 02/07/2021] Windows Print Spooler Remote Code Execution Vulnerability CVE-2021-34527
[Actualización 07/07/2021] Microsoft Releases Out-of-Band Security Updates for PrintNightmare
Etiquetas