PrintNightmare (CVE-2021-34527)

También conocido como: CVE-2021-34527, RCE de spoolsv

Vulnerabilidad de 2021 en el servicio Print Spooler de Windows que permitía a un usuario sin privilegios instalar un driver malicioso y ejecutar código como SYSTEM.

PrintNightmare (CVE-2021-34527, junto con la relacionada CVE-2021-1675) es un fallo en el servicio Print Spooler de Windows que no validaba correctamente las llamadas AddPrinterDriverEx. Al apuntar el spooler a una DLL maliciosa por un recurso compartido, un usuario del dominio —y en ciertas configuraciones, un atacante remoto sin autenticación— podía cargar esa DLL y ejecutar código arbitrario como SYSTEM, incluso en controladores de dominio. Divulgada por accidente en julio de 2021, fue rápidamente weaponizada por actores de ransomware. Microsoft publicó parches fuera de ciclo y guías de endurecimiento del registro. Defensas: aplicar todos los parches relacionados, desactivar el spooler en servidores que no lo necesiten (especialmente DC) y restringir Point-and-Print a administradores.

Ejemplos

Grupos de ransomware abusando de PrintNightmare para escalar a SYSTEM y desplegar payloads en DC.
Operadores de red-team usando PrintNightmare para escalar de usuario del dominio a admin local.

PrintNightmare (CVE-2021-34527)

Ejemplos

Términos relacionados

Escalada vertical de privilegios

CVE (Common Vulnerabilities and Exposures)

Exploit

Ransomware

Vulnerabilidad explotada conocida (KEV)

Active Directory

Definición

Ejemplos

Términos relacionados

Escalada vertical de privilegios

CVE (Common Vulnerabilities and Exposures)

Exploit

Ransomware

Vulnerabilidad explotada conocida (KEV)

Active Directory