Un exploit PoC para la peligrosa vulnerabilidad PrintNightmare en Windows Print Spooler (spoolsv.exe) ha sido publicado en línea. Este error tiene ID CVE-2021-1675 y Microsoft lo solucionó hace apenas un par de semanas., como parte del martes de parches de junio.
El servicio Windows Print Spooler es una interfaz universal entre el sistema operativo, aplicaciones, e impresoras locales o de red, permitir a los desarrolladores de aplicaciones enviar trabajos de impresión. Este servicio se incluye en Windows desde los años 90 y es conocido por sus innumerables problemas..
En particular, vulnerabilidades como ImprimirDemonio, FaxInfierno, Impresora malvada, CVE-2020-1337 e incluso se asociaron varios errores de día 0 con la cola de impresión de Windows, que eran utilizado en ataques Stuxnet.
El problema más nuevo CVE-2021-1675 fue descubierto por expertos de Tencent Security, AFINE y NSFOCUS a principios de este año.
Sin embargo, Microsoft actualizó la descripción del error la semana pasada para informar que el problema puede provocar la ejecución remota de código arbitrario..
Previamente, casi no se sabía nada sobre CVE-2021-1675, ya que los expertos no publicaron descripciones técnicas del problema ni sus exploits. Pero la semana pasada, la empresa china QiAnXin mostró un archivo GIF donde demostraba el funcionamiento de su exploit para CVE-2021-1675. Al mismo tiempo, la empresa no publicó ningún detalle técnico ni el exploit en sí, para dar a los usuarios más tiempo para instalar parches.
Sin embargo, Se ha publicado en GitHub un informe detallado con una descripción técnica del problema., así como un exploit PoC funcional. Parece que se debió a un error de otra persona y el repositorio se cerró después de unas horas.. Sin embargo, incluso en este corto tiempo, varios otros usuarios lograron clonarlo.
Este documento filtrado, escrito por tres analistas de la empresa china Sangfor, Proporciona detalles sobre cómo los expertos descubrieron el error independientemente de los expertos antes mencionados..
Además, Los expertos explicaron que después de que QiAnXin publicara una demostración de su exploit, pensaron que era hora de publicar su informe y PoC.
Sin embargo, unas horas después de esta declaración, el equipo se retractó de sus palabras (Parece que los expertos decidieron no revelar todos los detalles de su discurso, programado en el Black Hat USA 2021 conferencia) y eliminó el repositorio de GitHub. Pero fue demasiado tarde, el exploit PoC se hizo público.
Desde CVE-2021-1675, que Sangfor llama PrintNightmare, Afecta a todas las versiones de Windows e incluso puede afectar a XP y Vista cuando se utiliza para la ejecución remota de código., Se recomienda encarecidamente a las empresas que actualicen su flota de máquinas con Windows lo antes posible..
Déjame recordarte que también hablé de Microsoft corrige un error que corrompía los archivos FLAC.