30 jun. 2021

PoC y exploit para vulnerabilidad de Windows se filtra por error (CVE-2021-1675) - Actualizado CVE-2021-34527

El código de explotación de prueba de concepto para la falla CVE-2021-1675 se ha publicado por error en línea. La falla afecta el servicio Windows Print Spooler y podría explotarse para comprometer los sistemas Windows.

La vulnerabilidad denominada PrintNightmare reside en el servicio Windows Print Spooler (spoolsv.exe) que administra el proceso de impresión y afecta a todas las versiones del sistema operativo Windows. Microsoft abordó la falla con el lanzamiento de las actualizaciones de seguridad del martes de parches de junio de 2021 de Microsoft aunque la actualización no protege completamente contra esta PoC.

Print Spooler administra el proceso de impresión en Windows, incluida la carga de los controladores de impresora adecuados y la programación del trabajo de impresión para imprimir, entre otros.

CVE-2021-1675 se calificó inicialmente como una vulnerabilidad de elevación de privilegios de baja importancia, pero recientemente se revisó el problema y lo etiquetó como una falla de ejecución remota de código (RCE). El Spooler ha sido durante mucho tiempo una fuente de vulnerabilidades de seguridad, y Microsoft solucionó al menos tres problemas, CVE-2020-1048, CVE-2020-1300, y CVE-2020-1337, solo en el último año. En particular, también se abusó de una falla en el servicio para obtener acceso remoto y propagar el gusano Stuxnet en 2010 contra las instalaciones nucleares iraníes. La vulnerabilidad analizada y las pruebas de concepto actuales no fueron solucionadas en junio.

La semana pasada, investigadores de la firma de seguridad china QiAnXin publicaron un GIF que mostraba un exploit funcional para la falla CVE-2021-1675, pero evitaron revelar los detalles técnicos sobre el ataque.

Sin embargo, The Record notó que la disponibilidad de un exploit PoC completamente funcional en GitHub (otro). El código probablemente se publicó accidentalmente y luego el repositorio de GitHub se eliminó después de unas horas.

"Escrito por tres analistas de la firma de seguridad china Sangfor, el artículo detalla cómo el trío descubrió el error, independientemente de los equipos que informaron la vulnerabilidad a Microsoft", informó The Record.

Parece que el trío decidió publicar el PoC después de que los investigadores de QiAnXin compartieran el video del exploit CVE-2021-1675. Luego, retiraron la PoC porque lo presentarán en la conferencia de seguridad Black Hat USA 2021 a finales de este año.

Los actores de amenazas probablemente intentarán explotar este problema en las próximas semanas.

Hasta actualizar, se recomienda, si es posible, deshabilitar el servicio de spooler o desinstalarlo porque el parche de junio no protege completamente contra las PoC disponibles:

Get-Service -Name Spooler
Set-Service -Name Spooler -StartupType Disabled
Stop-Service Spooler
REG ADD  "HKLM\SYSTEM\CurrentControlSet\Services\Spooler" /v "Start " /t REG_DWORD /d "4" /f
Uninstall-WindowsFeature Print-Services

Gracias ZerialKiller por el video!

Actualización 02/07: Microsoft ha publicado un boletín de seguridad en el que reconoce a esta vulnerabilidad como nueva y le asigna el CVE-2021-34527. En el boletín se brinda una FAQ, se proponen varias mitigaciones, aunque las actualizaciones siguen sin estar disponibles.

Actualización 05/07: un scanner desarrollado en Python para toda una red de equipos vulnerables.

Actualizaciones oficiales

Microsoft ha actualizado el CVE-2021-34527 para anunciar que lanzó actualizaciones para varias (no todas) versiones de Windows. Las mismas aún no están disponibles para Windows 10 versión 1607, Windows Server 2016 o Windows Server 2012 y se lanzarán pronto.

Fuente: SecurityAffairs

Suscríbete a nuestro Boletín

3 comentarios:

  1. Pero al deshabilitar el servicio de Spooler, ya no se podrán realizar impresiones o si?

    ResponderBorrar
  2. Entiendo q no, pero un domain controller no necesitaria imprimir y deshabilitar spooler seria el unico workaround disponible para protejerlo.

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!