Vulnerabilidad 0-day CRÍTICA en 'Print Spooler (spoolsv.exe)' de Microsoft Windows.

AVISO: Solución temporal hasta que se realice parche.




Fecha de publicación: 01-07-2021

Nivel: Crítico (5)

0-DAY



Productos Afectados

  • Windows 7, 8.1 y 10 (incluyendo la versión 1909);

  • Windows Server 2008 (incluyendo R2, R2 SP1 y R2 SP2);

  • Windows Server 2012 (incluyendo R2);

  • Windows Server 2016;

  • Windows Server 2019;

  • Windows Server, versión 2004;

  • Windows Server, versión 20H2.


Descripción

Una vulnerabilidad fue encontrada en Microsoft Windows y clasificada como crítica.


Esta vulnerabilidad afecta a la función RpcAddPrinterDriverEx del archivo spoolsv.exe del componente Print Spooler Service.



Detalles

  • A través de la manipulación del argumento dwFileCopyFlags con un input desconocido se causa una vulnerabilidad de clase escalada de privilegios.

  • La definición de CWE para la vulnerabilidad es CWE-284. Como impacto, se sabe que afecta la confidencialidad, la integridad y la disponibilidad.

  • La debilidad se publicó el 01/07/2021 como VU#383432.

  • El aviso se comparte para su descarga en kb.cert.org.

  • La ejecución del exploit es sencilla.

  • El ataque se puede iniciar de forma remota.

  • Una única autenticación es necesaria para la explotación. Se conocen detalles técnicos y también un exploit público.

  • El precio actual del exploit puede ser de aprox. 4200 - 8400€ (estimación calculada el 01/07/2021).

  • El proyecto MITRE ATT & CK declara la técnica de ataque como T1068.



Solución

Microsoft ha abordado parcialmente este problema en su actualización para CVE-2021-1675. Los sistemas Microsoft Windows que están configurados para ser controladores de dominio y aquellos que tienen configurada Point and Print con la opción NoWarningNoElevationOnInstall configurada siguen siendo vulnerables.


En dicho caso, se recomienda desactivar el servicio Print Spooler.


Desde Powershell:

Stop-Service Spooler
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\Spooler" /v "Start " /t REG_DWORD /d "4" /f