La semana pasada yo hablado de un exploit PoC para la peligrosa vulnerabilidad CVE-2021-34527 en Windows Print Spooler (spoolsv.exe), que los investigadores llamaron PrintNightmare, y ahora se ha publicado un parche no oficial para este problema..
Cuando se publicó el exploit, Los investigadores descubrieron que el parche lanzado en junio no solucionó completamente el problema.. Además, La publicación del exploit ha dejado confundidos a muchos investigadores., y algunos han sugerido que PrintNightmare es una vulnerabilidad de día cero independiente que necesita su propia solución..
Por ejemplo, Mitia Kolsek, jefe de Acros Security y cofundador de 0Patch, escribió sobre esto en Twitter.
El problema afecta a todas las versiones de Windows, incluso puede afectar a XP y Vista, y ayuda remotely execute arbitrary code con privilegios de SISTEMA, que permite a un atacante instalar programas, vista, modificar o eliminar datos, y crear nuevas cuentas con derechos de usuario.
Aún no existe un parche para esta vulnerabilidad, y expertos de Microsoft informaron que el problema ya está siendo explotado en la vida real, aunque la empresa no especificó si esto lo hacen ciberdelincuentes o investigadores de seguridad de la información..
Los ingenieros de Microsoft ofrecieron a los administradores varias soluciones al problema.. Por ejemplo, Se recomienda desactivar completamente Print Spooler bloqueando la impresión de forma local y remota.. También es posible desactivar la impresión remota entrante a través de la Política de grupo., que bloqueará el principal vector de posibles ataques. En el segundo caso, «el sistema ya no funcionará como servidor de impresión, pero la impresión local desde dispositivos conectados directamente seguirá siendo posible.»
Ahora ha aparecido una tercera opción.: Los expertos involucrados en el desarrollo de la solución 0patch han preparado parches temporales (o microparches) para este problema. Déjame recordarte que 0patch es una plataforma diseñada especialmente para este tipo de situaciones., eso es, arreglando vulnerabilidades de día 0 y otras vulnerabilidades sin parches, para respaldar productos que ya no son respaldados por los fabricantes, software personalizado, etcétera.
Microparches disponibles para Windows Server 2019, Servidor de windows 2016, Servidor de windows 2012 R2, Servidor de windows 2008 R2, así como ventanas 10 v20H2, Windows 10 v2004, y Windows 10 v1909.