Microsoft ha publicado un aviso de una nueva vulnerabilidad en Print Spooler (CVE-2021-36958) que permite a los atacantes locales obtener privilegios del sistema en una computadora.
La nueva vulnerabilidad está relacionada con otras Imprimir bichos de pesadilla que explotan los ajustes de configuración de Print Spooler, controladores de impresión, y Windows Point and Print.
Microsoft lanzó previamente parches para PrintNightmare en julio y agosto, pero un problema descubierto originalmente por el investigador Benjamin Delpy aún permite a los atacantes obtener rápidamente privilegios a nivel del sistema simplemente conectándose a un servidor de impresión remoto..
Excelente #martes de parches Microsoft, pero ¿acaso no olvidaste algo? #imprimir pesadilla? ?
Todavía SISTEMA del usuario estándar…
(Puede que me haya perdido algo, pero #mimikatz?La biblioteca mimispool todavía se carga.… ?♂️) pic.twitter.com/OWOlyLWhHI
— ? Benjamín Delpy (@gentilkiwi) Agosto 10, 2021
La vulnerabilidad utiliza la directiva CopyFile para copiar un archivo DLL que abre un símbolo del sistema para el cliente junto con el controlador de impresión cuando se conecta a una impresora.. Aunque Microsoft cambió recent updates sobre la instalación de un nuevo controlador de impresora para que ahora requiera derechos de administrador, Estos derechos no son necesarios para conectarse a la impresora si el controlador ya está instalado..
Y si el controlador ya existe en el lado del cliente y por lo tanto no es necesario instalarlo, la conexión a una impresora remota seguirá activando CopyFile sin derechos de administrador. Esta vulnerabilidad permite copiar una DLL en el lado del cliente y ejecutarla, abra un símbolo del sistema con privilegios del sistema.
Microsoft ahora ha emitido un aviso de seguridad anunciando una nueva vulnerabilidad en Print Spooler que está siendo rastreada como CVE-2021-36958.
Para protegerse contra este problema, la empresa recomienda nuevamente desactivar Print Spooler.
El conocido experto en ciberseguridad y analista del CERT/CC, Will Dormann, dijo Computadora que suena que la descripción del CVE-2021-36958 La vulnerabilidad es totalmente consistente con el exploit PoC que Delpy publicó en Twitter en agosto. 10.
También, Los periodistas notaron que Microsoft clasificó esta vulnerabilidad como un problema de ejecución remota de código., aunque el ataque debe realizarse localmente. Will Dorman confirma que se trata claramente de una escalada de privilegios locales (basado en una puntuación CVSS de 7.3/6.8). El experto cree que el boletín de seguridad se actualizará en los próximos días.