Microsoft confirma otro fallo de día cero, del spooler de impresión de Windows

Publicado por: Manuel Abreu Ortiz - social@manuelabreuo.com

Microsoft ha emitido un aviso sobre otra vulnerabilidad de día cero del spooler de impresión de Windows rastreada como CVE-2021-36958 que permite a los atacantes locales obtener privilegios de SISTEMA en un ordenador.

Esta vulnerabilidad forma parte de una clase de errores conocidos como ‘PrintNightmare’, que abusa de los ajustes de configuración del spooler de impresión de Windows, de los controladores de impresión y de la función Point and Print de Windows.

Microsoft publicó actualizaciones de seguridad en julio y agosto para corregir varias vulnerabilidades de PrintNightmare.

Sin embargo, una vulnerabilidad revelada por el investigador de seguridad Benjamin Delpy todavía permite a los actores de la amenaza obtener rápidamente privilegios de SISTEMA simplemente conectándose a un servidor de impresión remoto, como se demuestra a continuación.

Esta falla utiliza la directiva del registro CopyFile para copiar un archivo DLL que abre un símbolo del sistema en el cliente junto con un controlador de impresión cuando se conecta a una impresora.

Si bien las recientes actualizaciones de seguridad de Microsoft cambiaron el procedimiento de instalación del nuevo controlador de impresión para que requiera privilegios de administrador, no será necesario ingresar privilegios de administrador para conectarse a una impresora cuando ese controlador ya esté instalado.

Además, si el controlador existe en un cliente y, por tanto, no es necesario instalarlo, la conexión a una impresora remota seguirá ejecutando la directiva CopyFile para los usuarios que no sean administradores. Esta debilidad permite que la DLL de Delpy se copie en el cliente y se ejecute para abrir un símbolo del sistema.

Microsoft ha publicado un aviso sobre una nueva vulnerabilidad de Windows Print Spooler rastreada como CVE-2021-36958, en el que indicó que la solución para esta vulnerabilidad es detener y desactivar el servicio Print Spooler.

Extrañamente, Microsoft ha clasificado esto como una vulnerabilidad de ejecución remota de código, a pesar de que el ataque necesita ser realizado localmente en un ordenador.

Con información de: Bleeping Computer.