Solo un día después de las actualizaciones de agosto, Microsoft anuncio otro RCE de 0 días relacionado a PrintSpooler, rastreada como CVE-2021-36958.
“Existe una vulnerabilidad de ejecución remota de código cuando el servicio de cola de impresión de Windows realiza incorrectamente operaciones con archivos privilegiados. Un atacante que aprovechara con éxito esta vulnerabilidad podría ejecutar código arbitrario con privilegios de SISTEMA. Entonces, un atacante podría instalar programas; ver, cambiar o eliminar datos; o cree nuevas cuentas con todos los derechos de usuario,” comunico Microsoft.
Microsoft Windows permite que los usuarios que no sean administradores puedan instalar controladores de impresora a través de Point and Print. Las impresoras instaladas mediante esta técnica también instalan archivos específicos de la cola, que pueden ser bibliotecas arbitrarias para ser cargadas por el proceso privilegiado de Windows Print Spooler.
El investigador Benjamin Delpy, compartió una POC (Prueba de concepto) en Twitter sobre este nuevo Print Spooler de día cero.
“El componente vulnerable no está vinculado a la pila de red y la ruta del atacante es a través de capacidades de lectura / escritura / ejecución. O bien: el atacante aprovecha la vulnerabilidad accediendo al sistema de destino localmente (p. Ej., Teclado, consola) o de forma remota (p. Ej., SSH); o el atacante confía en la interacción del usuario por parte de otra persona para realizar las acciones necesarias para aprovechar la vulnerabilidad (por ejemplo, engañar a un usuario legítimo para que abra un documento malicioso)”.
Victor Mata de FusionX, Accenture Security, es a quien se le ha atribuido el mérito de informar la vulnerabilidad que fue comunicada a Microsoft en diciembre de 2020.
Microsoft ha publicado una solución alternativa, recomendando a los usuarios detener y deshabilitar el servicio de cola de impresión para evitar que los actores de amenaza aprovechen la vulnerabilidad, el Impacto de la solución de Detener y deshabilitar el servicio de cola de impresión deshabilita la capacidad de imprimir tanto de forma local como remota.
Otra solución es mediante políticas de grupo, permitiendo que su dispositivo instale impresoras de servicios autorizados “‘Package Point and print – Approved servers'”
Group Policy Editor (gpedit.msc) > User Configuration > Administrative Templates > Control Panel > Printers > Package Point and Print – Approved Servers.
