AVISO: Solución temporal hasta que se realice parche.
Fecha de publicación: 01-07-2021
Nivel: Crítico (5)
0-DAY
Productos Afectados
Windows 7, 8.1 y 10 (incluyendo la versión 1909);
Windows Server 2008 (incluyendo R2, R2 SP1 y R2 SP2);
Windows Server 2012 (incluyendo R2);
Windows Server 2016;
Windows Server 2019;
Windows Server, versión 2004;
Windows Server, versión 20H2.
Descripción
Una vulnerabilidad fue encontrada en Microsoft Windows y clasificada como crítica.
Esta vulnerabilidad afecta a la función RpcAddPrinterDriverEx del archivo spoolsv.exe del componente Print Spooler Service.
Detalles
A través de la manipulación del argumento dwFileCopyFlags con un input desconocido se causa una vulnerabilidad de clase escalada de privilegios.
La definición de CWE para la vulnerabilidad es CWE-284. Como impacto, se sabe que afecta la confidencialidad, la integridad y la disponibilidad.
La debilidad se publicó el 01/07/2021 como VU#383432.
El aviso se comparte para su descarga en kb.cert.org.
La ejecución del exploit es sencilla.
El ataque se puede iniciar de forma remota.
Una única autenticación es necesaria para la explotación. Se conocen detalles técnicos y también un exploit público.
El precio actual del exploit puede ser de aprox. 4200 - 8400€ (estimación calculada el 01/07/2021).
El proyecto MITRE ATT & CK declara la técnica de ataque como T1068.
Solución
Microsoft ha abordado parcialmente este problema en su actualización para CVE-2021-1675. Los sistemas Microsoft Windows que están configurados para ser controladores de dominio y aquellos que tienen configurada Point and Print con la opción NoWarningNoElevationOnInstall configurada siguen siendo vulnerables.
En dicho caso, se recomienda desactivar el servicio Print Spooler.
Desde Powershell:
Stop-Service Spooler
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\Spooler" /v "Start " /t REG_DWORD /d "4" /f