Se ha hecho pública una vulnerabilidad clasificada como crítica que afecta a todas las versiones del sistema operativo Microsoft Windows. La vulnerabilidad, con identificador CVE-2021-1675, reside en una función desconocida del servicio Print Spooler (spoolsv.exe) el cual de forma predeterminada es habilitado por Windows, encargado de interactuar con impresoras locales o en red y gestiona el proceso de impresión.
El fallo de seguridad ha sido clasificado de tipo RCE (ejecución remota de código), afectando principalmente la confidencialidad, integridad y disponibilidad. La vulnerabilidad resulta fácil de explotar, el ataque se realiza localmente y para explotarla se requiere una autentificación.
Recientemente ha sido publicada una PoC (prueba de concepto) para el fallo CVE-2021-1675, la cual estará ampliamente disponible en línea pronto. Los actores de amenazas probablemente intentarán explotar la vulnerabilidad durante las próximas semanas.
En caso de que se explote con éxito, la vulnerabilidad proporciona a los atacantes un control total sobre el equipo afectado o controlador de dominio. Sin embargo, para lograr RCE en la máquina objetivo, los atacantes deben estar autenticados en el sistema. Esto es muy importante, si tiene habilitado el servicio «Print Spooler» en equipos controlador de dominio, una cuenta de usuario previamente comprometida podría ejecutar código con privilegios SYSTEM en el controlador de dominio.
Productos Afectados
| CVE | Severidad | Impacto | Producto Afectado |
| CVE-2021-1675 | Crítica | Ejecución remota de código | Windows Server 2012 R2 (Server Core installation) |
| CVE-2021-1675 | Crítica | Ejecución remota de código | Windows Server 2012 R2 |
| CVE-2021-1675 | Crítica | Ejecución remota de código | Windows Server 2012 (Server Core installation) |
| CVE-2021-1675 | Crítica | Ejecución remota de código | Windows Server 2012 |
| CVE-2021-1675 | Crítica | Ejecución remota de código | Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation) |
| CVE-2021-1675 | Crítica | Ejecución remota de código | Windows Server 2008 R2 for x64-based Systems Service Pack 1 |
| CVE-2021-1675 | Crítica | Ejecución remota de código | Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation) |
| CVE-2021-1675 | Crítica | Ejecución remota de código | Windows Server 2008 for x64-based Systems Service Pack 2 |
| CVE-2021-1675 | Crítica | Ejecución remota de código | Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation) |
| CVE-2021-1675 | Crítica | Ejecución remota de código | Windows Server 2008 for 32-bit Systems Service Pack 2 |
| CVE-2021-1675 | Crítica | Ejecución remota de código | Windows RT 8.1 |
| CVE-2021-1675 | Crítica | Ejecución remota de código | Windows 8.1 for x64-based systems |
| CVE-2021-1675 | Crítica | Ejecución remota de código | Windows 8.1 for 32-bit systems |
| CVE-2021-1675 | Crítica | Ejecución remota de código | Windows 7 for x64-based Systems Service Pack 1 |
| CVE-2021-1675 | Crítica | Ejecución remota de código | Windows 7 for 32-bit Systems Service Pack 1 |
| CVE-2021-1675 | Crítica | Ejecución remota de código | Windows Server 2016 (Server Core installation) |
| CVE-2021-1675 | Crítica | Ejecución remota de código | Windows Server 2016 |
| CVE-2021-1675 | Crítica | Ejecución remota de código | Windows 10 Version 1607 for x64-based Systems |
| CVE-2021-1675 | Crítica | Ejecución remota de código | Windows 10 Version 1607 for 32-bit Systems |
| CVE-2021-1675 | Crítica | Ejecución remota de código | Windows 10 for x64-based Systems |
| CVE-2021-1675 | Crítica | Ejecución remota de código | Windows 10 for 32-bit Systems |
| CVE-2021-1675 | Crítica | Ejecución remota de código | Windows Server, version 20H2 (Server Core Installation) |
| CVE-2021-1675 | Crítica | Ejecución remota de código | Windows 10 Version 20H2 for ARM64-based Systems |
| CVE-2021-1675 | Crítica | Ejecución remota de código | Windows 10 Version 20H2 for 32-bit Systems |
| CVE-2021-1675 | Crítica | Ejecución remota de código | Windows 10 Version 20H2 for x64-based Systems |
| CVE-2021-1675 | Crítica | Ejecución remota de código | Windows Server, version 2004 (Server Core installation) |
| CVE-2021-1675 | Crítica | Ejecución remota de código | Windows 10 Version 2004 for x64-based Systems |
| CVE-2021-1675 | Crítica | Ejecución remota de código | Windows 10 Version 2004 for ARM64-based Systems |
| CVE-2021-1675 | Crítica | Ejecución remota de código | Windows 10 Version 2004 for 32-bit Systems |
| CVE-2021-1675 | Crítica | Ejecución remota de código | Windows 10 Version 21H1 for 32-bit Systems |
| CVE-2021-1675 | Crítica | Ejecución remota de código | Windows 10 Version 21H1 for ARM64-based Systems |
| CVE-2021-1675 | Crítica | Ejecución remota de código | Windows 10 Version 21H1 for x64-based Systems |
| CVE-2021-1675 | Crítica | Ejecución remota de código | Windows 10 Version 1909 for ARM64-based Systems |
| CVE-2021-1675 | Crítica | Ejecución remota de código | Windows 10 Version 1909 for x64-based Systems |
| CVE-2021-1675 | Crítica | Ejecución remota de código | Windows 10 Version 1909 for 32-bit Systems |
| CVE-2021-1675 | Crítica | Ejecución remota de código | Windows Server 2019 (Server Core installation) |
| CVE-2021-1675 | Crítica | Ejecución remota de código | Windows Server 2019 |
| CVE-2021-1675 | Crítica | Ejecución remota de código | Windows 10 Version 1809 for ARM64-based Systems |
| CVE-2021-1675 | Crítica | Ejecución remota de código | Windows 10 Version 1809 for x64-based Systems |
| CVE-2021-1675 | Crítica | Ejecución remota de código | Windows 10 Version 1809 for 32-bit Systems |
Remediación
Aparentemente, el parche de seguridad publicado por Microsoft a principios de este mes para el fallo CVE-2021-1675 podría no ser suficiente para solventar la vulnerabilidad. Hasta que Microsoft aclare la confusión y publique otro parche, se recomienda aplicar la siguiente medida como mitigación:
- Deshabilitar el servicio «Print Spooler» (spoolsv.exe) en las máquinas que no lo necesitan. A menos que la máquina comparta impresoras (servidor de impresión), este servicio debe desactivarse.
Referencia: