Microsoft admite un nuevo ataque Print Spool LPE (CVE-2021-34481)

Un poco como una película de terror, tan pronto como Microsoft piensa que su PrintNightmare ha terminado, aparece otro vector de ataque.

MSRC ha publicado un aviso (CVE-2021-34481) informando a los administradores que, a pesar de haber parcheado recientemente sus PC contra PrintNightmare, se ha descubierto un nuevo ataque que deja su PC vulnerable al compromiso.

Microsoft señala que existe una vulnerabilidad de elevación de privilegios cuando el servicio Windows Print Spooler realiza incorrectamente operaciones de archivos privilegiados. Un atacante que explotara con éxito esta vulnerabilidad podría ejecutar código arbitrario con privilegios de SISTEMA. Un atacante podría entonces instalar programas; ver, cambiar o eliminar datos; o cree nuevas cuentas con todos los derechos de usuario.

Sin embargo, a diferencia del PrintNightmare original, este ataque no sería un código remoto y el atacante debe tener la capacidad de ejecutar código en un sistema víctima para aprovechar esta vulnerabilidad. Por supuesto, se puede encadenar con otra vulnerabilidad y dejar que la explotación eleve sus privilegios. Microsoft señala que no requiere la intervención del usuario para ejecutarse.

Microsoft aún no ha lanzado un parche para el nuevo error, pero señala que una solución alternativa para detener y deshabilitar el servicio Print Spooler es efectiva.

Leer más sobre el ataque a Microsoft esta página.