Microsoft advierte sobre una nueva vulnerabilidad de la cola de impresión

Print Spooler Vulnerability

Microsoft ha publicado un aviso de una nueva vulnerabilidad en Print Spooler (CVE-2021-36958) que permite a los atacantes locales obtener privilegios del sistema en una computadora.

La nueva vulnerabilidad está relacionada con otras Imprimir bichos de pesadilla que explotan los ajustes de configuración de Print Spooler, controladores de impresión, y Windows Point and Print.

Microsoft lanzó previamente parches para PrintNightmare en julio y agosto, pero un problema descubierto originalmente por el investigador Benjamin Delpy aún permite a los atacantes obtener rápidamente privilegios a nivel del sistema simplemente conectándose a un servidor de impresión remoto..

La vulnerabilidad utiliza la directiva CopyFile para copiar un archivo DLL que abre un símbolo del sistema para el cliente junto con el controlador de impresión cuando se conecta a una impresora.. Aunque Microsoft cambió recent updates sobre la instalación de un nuevo controlador de impresora para que ahora requiera derechos de administrador, Estos derechos no son necesarios para conectarse a la impresora si el controlador ya está instalado..

Y si el controlador ya existe en el lado del cliente y por lo tanto no es necesario instalarlo, la conexión a una impresora remota seguirá activando CopyFile sin derechos de administrador. Esta vulnerabilidad permite copiar una DLL en el lado del cliente y ejecutarla, abra un símbolo del sistema con privilegios del sistema.

Microsoft ahora ha emitido un aviso de seguridad anunciando una nueva vulnerabilidad en Print Spooler que está siendo rastreada como CVE-2021-36958.

Una vulnerabilidad de ejecución remota de código está relacionada con la cola de impresión de Windows que realiza incorrectamente operaciones con archivos privilegiados.. Un atacante que aprovechara con éxito esta vulnerabilidad podría ejecutar código arbitrario con privilegios de SISTEMA. Un atacante puede entonces instalar programas, vista, modificar o eliminar datos, o cree nuevas cuentas con todos los derechos de usuario.los desarrolladores escriben.

Para protegerse contra este problema, la empresa recomienda nuevamente desactivar Print Spooler.

El conocido experto en ciberseguridad y analista del CERT/CC, Will Dormann, dijo Computadora que suena que la descripción del CVE-2021-36958 La vulnerabilidad es totalmente consistente con el exploit PoC que Delpy publicó en Twitter en agosto. 10.

También, Los periodistas notaron que Microsoft clasificó esta vulnerabilidad como un problema de ejecución remota de código., aunque el ataque debe realizarse localmente. Will Dorman confirma que se trata claramente de una escalada de privilegios locales (basado en una puntuación CVSS de 7.3/6.8). El experto cree que el boletín de seguridad se actualizará en los próximos días.

Por Vladimir Krasnogolovy

Vladimir es un especialista técnico al que le encanta dar consejos y sugerencias cualificados sobre los productos de GridinSoft. Está disponible las 24 horas del día, los 7 días de la semana para ayudarte con cualquier pregunta relacionada con la seguridad en Internet.

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *