Se ha descubierto un exploit de prueba de concepto (PoC) y los detalles técnicos relacionados con una vulnerabilidad sin parchar en sistemas Windows se han filtrado en línea por accidente.
El servicio de cola de impresión de Microsoft Windows no restringe el acceso a la función RpcAddPrinterDriverEx(), que puede permitir que un atacante autenticado remotamente ejecute código arbitrario con privilegios de sistema en un sistema vulnerable.
Información general de RpcAddPrinterDriverEx()
La función RpcAddPrinterDriverEx() se utiliza para instalar un controlador de impresora en un sistema. Uno de los parámetros de esta función es el objeto DRIVER_CONTAINER , que contiene información sobre qué controlador utilizará la impresora agregada. El otro argumento, dwFileCopyFlagsespecifica cómo se copiarán los archivos de controlador de impresora de reemplazo. Un atacante puede aprovechar el hecho de que cualquier usuario autenticado puede llamar RpcAddPrinterDriverEx() y especificar un archivo de controlador que reside en un servidor remoto. Esto da como resultado que el servicio de cola de impresión spoolsv.exe ejecute código en un archivo DLL arbitrario con privilegios de SYSTEM.
Si bien Microsoft ha lanzado una actualización CVE-2021-1675, es importante tener en cuenta que esta actualización no protege los controladores de dominio de Active Directory o los sistemas que tienen Point and Print configurado con la NoWarningNoElevationOnInstallopción configurada.
El 1 de julio, Microsoft lanzó otro CVE-2021-34527 y afirma que esta vulnerabilidad es similar pero distinta de la vulnerabilidad que se le asigna CVE-2021-1675, que aborda una vulnerabilidad diferente en RpcAddPrinterDriverEx(). El vector de ataque también es diferente. CVE-2021-1675 fue abordado por la actualización de seguridad de junio de 2021.
El código de explotación para esta vulnerabilidad que se dirige a los controladores de dominio de Active Directory está disponible públicamente como PrintNightmare.
SOC Widefense – Medidas de refuerzo
Hemos reforzado nuestro monitoreo y servicio de ciberseguridad, notificando a todos nuestros clientes con el fin de mantenerlos actualizados de la información relevante asociada a esta amenaza. Entre las medidas tomadas, destacan:
- Investigación constante de nuevos indicadores de compromiso que tengan relación con esta amenaza; realizando la carga preventiva. Cabe mencionar que esta acción se realiza en forma paralela a disponer de la validación de los fabricantes respecto a la detección de la amenaza, con el objetivo de anticiparnos a situaciones de potencial riesgo.
- Se ha reforzado la detección de eventos de correlación que estén asociados a propagación de una amenaza y/o incremento de detecciones.
- Mantenemos reglas personalizadas que correlacionan los eventos con el objetivo de detectar posible actividad relacionada a esta vulnerabilidad.
- Refuerzo del monitoreo de actividades sospechosas sobre el servicio spoolsv.exe.
Solución
Se recomienda instalar la acutalizacón lo más pronto posible del nuevo parche de seguridad de Windows publicado a partir del 6 de julio de 2021 que contienen protecciones en la ejecución remota para el exploit Windows Print Spooler conocido como «PrintNightmare», documentado en CVE-2021-34527. Después de instalar estas y posteriores actualizaciones de Windows, los no administradores solo pueden instalar controladores de impresión firmados en un servidor de impresión.
Cabe destacar que Microsoft arreglo la ejecución de código malicioso de forma remota, es decir, aun puede ejecutarse de forma local y se espera que saquen otra actualización para corregir esto, la recomendación general es mantener los sistemas actualizados en la última versión.
Referencia Microsoft: https://support.microsoft.com/en-us/topic/kb5005010-restricting-installation-of-new-printer-drivers-after-applying-the-july-6-2021-updates-31b91c02-05bc-4ada-a7ea-183b129578a7