A principios de esta semana, Microsoft lanzó un parche de emergencia para un error crítico de PrintNightmare descubierto recientemente en Windows Print Spooler (spoolsv.exe), pero fue ineficaz.
Microsoft asignado la identificación del error CVE-2021-34527, y también confirmó que el problema permite que se ejecute código arbitrario de forma remota con privilegios de SISTEMA y permite que un atacante instale programas., vista, modificar o eliminar datos, y crear nuevas cuentas con derechos de usuario.
- Windows 10 21H1 (KB5004945);
- Windows 10 20H1 (KB5004945);
- Windows 10 2004 (KB5004945);
- Windows 10 1909 (KB5004946);
- Windows 10 1809 y servidor de Windows 2019 (KB5004947);
- Windows 10 1507 (KB5004950);
- Windows 8.1 y servidor de Windows 2012 (KB5004954/KB5004958);
- Windows 7 SP1 y Windows Server 2008 R2 SP1 (KB5004953/KB5004951);
- Servidor de windows 2008 SP2 (KB5004955/KB5004959).
Al mismo tiempo, Los investigadores de ciberseguridad descubrieron rápidamente que estas correcciones estaban incompletas, ya que la vulnerabilidad aún podría explotarse localmente para obtener privilegios del SISTEMA. En particular, esta información fue confirmada por Mateo Hickey, cofundador de Hacker House, y Will Dorman, analista en CERT/CC.
Como resultó ahora, El problema es aún más grave de lo que pensaban.. Otros investigadores también comenzaron a modificar sus exploits y a probar el parche., después de lo cual resultó que la solución se podía evitar fácilmente, con explotación de la vulnerabilidad no sólo para la escalada de privilegios locales, sino también para la ejecución remota de código arbitrario.
desarrollador mimikatz Benjamín Delp escribe que el parche se puede omitir si la política de restricciones de apuntar e imprimir está activa, y el «Al instalar controladores para una nueva conexión» El parámetro debe establecerse en «No mostrar advertencia en el mensaje de elevación».
Matthew Hickey dijo Computadora que suena que es mejor para los usuarios desactivar Print Spooler por completo, bloquear la impresión de forma local y remota (hasta que un parche completo esté disponible).
También, la propia publicación señala que microparche no oficial del desarrollador 0patch resultó ser más efectivo, y se puede utilizar en lugar del oficial. Sin embargo, Esta solución de terceros entra en conflicto con la de julio de Microsoft. 6, 2021 parche, por lo que 0patch solo se puede aplicar en lugar del oficial.
Microsoft dice que ya conoce a los expertos’ recomendaciones, y la empresa ya está investigando estos informes.
