El nuevo exploit de Windows Server PrintNightmare Zero-day puede ser el nuevo Hafnium

Se acaba de lanzar un exploit de día cero nuevo y sin parches, junto con un código de prueba de concepto, que otorga a los atacantes capacidades completas de ejecución remota de código en dispositivos Windows Print Spooler completamente parcheados.

El hack, llamado PrintNightmare, fue lanzado accidentalmente por la compañía de seguridad china Sangfor, quien lo confundió con un exploit similar de Print Spooler que Microsoft ya ha reparado.

Sin embargo, PrintNightmare es efectivo en máquinas Windows Server 2019 con parches completos y permite que el código del atacante se ejecute con todos los privilegios.

Porque sé que te encantan los buenos videos con #mimikatz sino también #impresion (¿CVE-2021-1675?)
* Usuario estándar para SISTEMA en controlador de dominio remoto *

¿Quizás Microsoft pueda explicar algunas cosas sobre su solución?
> Por ahora, detenga el servicio Spooler

Gracias @_f0rgetting_ & @edwardzpeng pic.twitter.com/bJ3dkxN1fW

— ????? Benjamín Delpy (@gentilkiwi) Sábado, Junio 30, 2021

El principal factor atenuante es que los piratas informáticos necesitan algunas credenciales (incluso de bajo privilegio) para la red, pero para las redes empresariales, estas se pueden comprar fácilmente por alrededor de $ 3.

Esto significa que las redes corporativas son nuevamente extremadamente vulnerables a los ataques (especialmente ransomware), y los investigadores de seguridad recomiendan a las empresas que desactiven sus Administradores de trabajos de impresión de Windows.

Lea más sobre el tema en BleepingComputer aquí.