Microsoft confirmó oficialmente que la vulnerabilidad CVE-2021-34527 de ejecución remota de código (RCE) aka "PrintNightmare" que afecta al servicio Windows Print Spooler es diferente del problema que la compañía abordó como parte de su actualización de CVE-2021-1675, al tiempo que se advirtió que se estaba ejecutando in-the-wild.

Su criticidad (posibilidad de ejecutar código como SYSTEM) y la aparición de exploits funcionales hacen vital tomar las contramedidas urgentemente que, básicamente, consisten en deshabilitar el servicio de impresión. Aunque por el momento son workarounds hasta la aparición del parche oficial, evitarán que inexorablemente cualquier usuario malintencionado o atacante se convierta en administrador de dominio fácilmente.

En este post, HackPlayers recoge de manera bastante esquemática distintos aspectos de esta nueva y auténtica pesadilla para Windows.

Exploits

• https://github.com/cube0x0/CVE-2021-1675 (implementaciones en C# y Python)
• https://github.com/afwu/PrintNightmare

Fuentes:

• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527
• https://blog.truesec.com/2021/06/30/fix-for-printnightmare-cve-2021-1675-exploit-to-keep-your-print-servers-running-while-a-patch-is-not-available/
• https://blog.truesec.com/2021/06/30/exploitable-critical-rce-vulnerability-allows-regular-users-to-fully-compromise-active-directory-printnightmare-cve-2021-1675/
• https://hoodguy.net/mitigations-for-printnigtmare-zero-day-vulnerability/
• https://gist.github.com/thehack3r4chan/050830558e1155ac6611cb92b5a1c857
• https://thehackernews.com/2021/07/microsoft-warns-of-critical.html