Los investigadores de seguridad en China han revelado accidentalmente un error crítico de día cero de Windows que se rastrea como PrintNightmare.
Sangfor Technologies, con sede en Shenzhen, ha filtrado accidentalmente los detalles técnicos y un exploit de prueba de concepto (PoC) para una vulnerabilidad actualmente sin parchear en Windows que permite la ejecución remota de código.
Fue lanzado esta semana después de la confusión sobre otro estado de vulnerabilidad de Print Spooler.
Microsoft ha parcheado una vulnerabilidad de alta gravedad de elevación de privilegios, CVE-2021-1675 en su Patch Tuesday de junio. Pero el lunes pasado reclasificó el error como crítico, luego de analizar que podría habilitar la ejecución remota de código (RCE) sin agregar más información.
Los investigadores de Sangfor asumieron que su prueba de concepto RCE que afecta a Windows Print Spooler era la misma. Como CVE-2021-1675 ya estaba parcheado, publicaron los detalles antes de la fecha prevista de Black Hat USA en agosto.
Ahora, hay un zero day en Print Spooler, con los servidores controladores de dominio particularmente en riesgo. Los actores de la amenaza pueden acceder a las redes empresariales mediante el control remoto de estas.
Aunque la autenticación es necesaria, es una barra cada vez más baja para los atacantes, dado el volumen de credenciales violadas y otros sistemas en la dark web.
El científico investigador principal de Sophos, Paul Ducklin, dijo que Microsoft podría lanzar una actualización fuera de banda para solucionar este problema antes del martes de parches de julio.
Se sugiere a los usuarios que tienen servidores que deben dejar la cola de impresión en ejecución que limiten el acceso a la red a esos servidores lo más estrictamente posible, incluso si algunos de los usuarios experimentan inconvenientes temporales.
Además, si hay servidores en los que la cola de impresión no es necesaria, debe apagarse incluso después de que haya un parche disponible.
Fuente: