La semana pasada, investigadores publicaron accidentalmente un exploit de prueba de concepto (PoC exploit) para una vulnerabilidad crítica del servicio de impresión de Windows Print Spooler, también conocida como PrintNightmare. Aunque el exploit se eliminó rápidamente de GitHub, algunos usuarios lograron descargarlo y lo publicaron nuevamente.
A raíz de esto, PrintNightmare puede ser utilizado por ciberdelincuentes con una cuenta de usuario normal para tomar el control de un servidor vulnerable o de la computadora de algún cliente que ejecute el servicio Print Spooler de Windows. Esto le brinda al atacante la oportunidad de distribuir e instalar programas maliciosos en la computadora de la víctima (incluidos los controladores de dominio vulnerables), así como la posibilidad de robar datos almacenados y crear nuevas cuentas con todos los derechos de usuario.
Después de que la primera versión del PoC exploit estuvo disponible públicamente, los investigadores comenzaron a publicar otras versiones de éste. La vulnerabilidad PrintNightmare también es propensa a ser explotada en módulos nuevos de frameworks, como Mimikatz y Metasploit. Como resultado, los expertos de Kaspersky anticipan un número creciente de intentos para obtener acceso a recursos corporativos utilizando el exploit PrintNightmare, acompañado de un alto riesgo de infección de ransomware y de robo de datos.
“Esta vulnerabilidad es realmente grave porque permite a los ciberdelincuentes acceder a otras computadoras dentro de la red de una organización. Dado que el exploit está disponible públicamente, muchos estafadores se aprovecharán de él. Por ello, hacemos un llamado a todos los usuarios para que apliquen las últimas actualizaciones de seguridad para Windows”, comenta Evgeny Lopatin, experto en seguridad de Kaspersky.
Los productos de Kaspersky protegen contra ataques que aprovechan estas vulnerabilidades y además detectan los implantes maliciosos como:
• HEUR:Exploit.Win32.CVE-2021-1675.*
• HEUR:Exploit.Win32.CVE-2021-34527.*
• HEUR:Exploit.MSIL.CVE-2021-34527.*
• HEUR:Exploit.Script.CVE-2021-34527.*
• HEUR:Trojan-Dropper.Win32.Pegazus.gen
• PDM:Exploit.Win32.Generic
• PDM:Trojan.Win32.Generic
• Win32.CVE-2021-1675.*
• Win64.CVE-2021-1675.*