Nuevo exploit para CVE-2022-21999
ANÁLISIS
La vulnerabilidad de escalada de privilegios local de Windows Print Spooler (CVE-2022-21999) fue parcheada por Microsoft en el lanzamiento del Tuesday Patch. Sin embargo, el exploit para esta vulnerabilidad ya está disponible [2].
Esta vulnerabilidad tiene una puntuación oficial CVSSv3 de 7,8, por lo que se considera de alta prioridad [3].
El PoC utiliza una DLL que crea un nuevo administrador local. Una vez ejecutado el exploit, se dejan los siguientes artefactos para su posterior limpieza:
- El directorio del controlador de la impresora creado no se elimina
- La DLL de la carga útil se copia en el directorio del controlador de la impresora y no se elimina
- Cualquier impresora creada no se elimina
- El valor de SpoolDirectory de la impresora objetivo no se restaura
RECOMENDACIONES
Se recomienda actualizar los productos afectados siguiendo la guía de actualización de Microsoft. [3]
REFERENCIAS
[1] GitHub - ly4k/SpoolFool: Exploit for CVE-2022-21999 - Windows Print Spooler Elevation of Privilege Vulnerability (LPE)
[2] SpoolFool: Windows Print Spooler Privilege Escalation (CVE-2022-21999) | by Oliver Lyak | Feb, 2022 | IFCR
[3] NVD - CVE-2022-21999 (nist.gov)
[4] https://msrc.microsoft.com/update-guide/en-us