PoC y exploit para vulnerabilidad de Windows se filtra por error (CVE-2021-1675) - Actualizado CVE-2021-34527
El código de explotación de prueba de concepto para la falla CVE-2021-1675 se ha publicado por error en línea. La falla afecta el servicio Windows Print Spooler y podría explotarse para comprometer los sistemas Windows.
La vulnerabilidad denominada PrintNightmare reside en el servicio Windows Print Spooler (spoolsv.exe) que administra el proceso de impresión y afecta a todas las versiones del sistema operativo Windows. Microsoft abordó la falla con el lanzamiento de las actualizaciones de seguridad del martes de parches de junio de 2021 de Microsoft aunque la actualización no protege completamente contra esta PoC.
Print Spooler administra el proceso de impresión en Windows, incluida la carga de los controladores de impresora adecuados y la programación del trabajo de impresión para imprimir, entre otros.
CVE-2021-1675 se calificó inicialmente como una vulnerabilidad de elevación de privilegios de baja importancia, pero recientemente se revisó el problema y lo etiquetó como una falla de ejecución remota de código (RCE). El Spooler ha sido durante mucho tiempo una fuente de vulnerabilidades de seguridad, y Microsoft solucionó al menos tres problemas, CVE-2020-1048, CVE-2020-1300, y CVE-2020-1337, solo en el último año. En particular, también se abusó de una falla en el servicio para obtener acceso remoto y propagar el gusano Stuxnet en 2010 contra las instalaciones nucleares iraníes. La vulnerabilidad analizada y las pruebas de concepto actuales no fueron solucionadas en junio.
La semana pasada, investigadores de la firma de seguridad china QiAnXin publicaron un GIF que mostraba un exploit funcional para la falla CVE-2021-1675, pero evitaron revelar los detalles técnicos sobre el ataque.
Recently, we found right approaches to exploit #CVE-2021-1675 successfully, both #LPE and #RCE. It is interesting that the vulnerability was classified into #LPE only by Microsoft, however, it was changed into Remote Code Execution recently.https://t.co/PQO3B12hoE pic.twitter.com/kbYknK9fBw
— RedDrip Team (@RedDrip7) June 28, 2021
Sin embargo, The Record notó que la disponibilidad de un exploit PoC completamente funcional en GitHub (otro). El código probablemente se publicó accidentalmente y luego el repositorio de GitHub se eliminó después de unas horas.

"Escrito por tres analistas de la firma de seguridad china Sangfor, el artículo detalla cómo el trío descubrió el error, independientemente de los equipos que informaron la vulnerabilidad a Microsoft", informó The Record.
Parece que el trío decidió publicar el PoC después de que los investigadores de QiAnXin compartieran el video del exploit CVE-2021-1675. Luego, retiraron la PoC porque lo presentarán en la conferencia de seguridad Black Hat USA 2021 a finales de este año.
Los actores de amenazas probablemente intentarán explotar este problema en las próximas semanas.
Hasta actualizar, se recomienda, si es posible, deshabilitar el servicio de spooler o desinstalarlo porque el parche de junio no protege completamente contra las PoC disponibles:
Get-Service -Name Spooler
Set-Service -Name Spooler -StartupType Disabled
Stop-Service Spooler
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\Spooler" /v "Start " /t REG_DWORD /d "4" /f
Uninstall-WindowsFeature Print-Services
Gracias ZerialKiller por el video!
Actualización 02/07: Microsoft ha publicado un boletín de seguridad en el que reconoce a esta vulnerabilidad como nueva y le asigna el CVE-2021-34527. En el boletín se brinda una FAQ, se proponen varias mitigaciones, aunque las actualizaciones siguen sin estar disponibles.
Actualización 05/07: un scanner desarrollado en Python para toda una red de equipos vulnerables.
Actualizaciones oficiales
Microsoft ha actualizado el CVE-2021-34527 para anunciar que lanzó actualizaciones para varias (no todas) versiones de Windows. Las mismas aún no están disponibles para Windows 10 versión 1607, Windows Server 2016 o Windows Server 2012 y se lanzarán pronto.
Fuente: SecurityAffairs
Pero al deshabilitar el servicio de Spooler, ya no se podrán realizar impresiones o si?
ResponderBorrarEntiendo q no, pero un domain controller no necesitaria imprimir y deshabilitar spooler seria el unico workaround disponible para protejerlo.
ResponderBorrarhttps://youtu.be/_ToE95qyDlY
ResponderBorrar