Se ha filtrado un PoC para el fallo crítico del Print Spooler de Windows (CVE-2021-1675)

La CVE-2021-1675, una vulnerabilidad del Print Spooler de Windows que Microsoft parcheó en junio de 2021, presenta un peligro mucho mayor de lo que se pensaba inicialmente: los investigadores han demostrado que puede ser explotada para lograr la ejecución remota de código y -lo que es peor- desde entonces se han filtrado exploits PoC.

Acerca de CVE-2021-1675

Acreditado por Zhipeng Huo de Tencent Security Xuanwu Lab, Piotr Madej de AFINE y Yunhai Zhang de NSFOCUS TIANJI Lab, la CVE-2021-1675 fue inicialmente clasificada como una vulnerabilidad de baja gravedad, que permitía la elevación de privilegios locales, y fue parcheada el martes de parche de junio de 2021.

Pero el 21 de junio de 2021, Microsoft cambió la clasificación porque se descubrió que el fallo permite la ejecución remota de código (RCE), y se volvió a clasificar como crítica.

Luego, el 27 de junio, los investigadores de la empresa china de ciberseguridad QiAnXin compartieron en Twitter un video/GIF que demostraba un exploit para la vulnerabilidad para lograr RCE.

Dos días más tarde, los investigadores de Sangfor Technologies publicaron y luego borraron rápidamente los detalles técnicos y un exploit PoC para CVE-2021-1675, pero no antes de que el repositorio de GitHub donde lo pusieron fuera clonado / bifurcado.

¿Y ahora qué?

CVE-2021-1675 afecta a varias versiones de Windows Server (2004, 2008, 2008 R2, 2012, 2012 R2, 2016, 2019, 20H2) y Windows (7, 8.1, RT 8.1, 10).

El Print Spooler de Windows es una aplicación / interfaz / servicio que interactúa con las impresoras locales o en red y gestiona el proceso de impresión.

Es un componente antiguo de Windows (más de 20 años) y los investigadores encuentran errores en él a menudo. Ocasionalmente, los actores de la amenaza también lo hacen: los atacantes detrás del infame malware Stuxnet aprovecharon, entre otros errores, una vulnerabilidad de escalada de privilegios «baja» en el servicio Print Spooler de Windows.

Pronto estarán disponibles exploits PoC copiados y modificados para CVE-2021-1675. De hecho, ya se pueden encontrar en línea bifurcaciones e implementaciones específicas. Así que, para aquellas organizaciones que aún no han implementado el parche disponible, el tiempo es ahora esencial.

ACTUALIZACIÓN (30 de junio de 2021, 08:25 a.m. PT)

Fuente: helpnetsecurity

Comments are closed.