PrintSpoofer
CategorÃa y Tipo de Herramienta
PrintSpoofer es un ejecutable de escalada de privilegios local diseñado para abusar de las capacidades de suplantación de identidad en sistemas Windows modernos. Al igual que PetitPotato, se centra en la explotación de cuentas de servicio con privilegios de impersonación.
Propósito Principal y Casos de Uso
Su función es obtener una shell interactiva con privilegios de NT AUTHORITY\SYSTEM partiendo de una cuenta de servicio de red o IIS. Se distingue por ser altamente efectivo en versiones modernas de Windows (Server 2016/2019/2022) donde herramientas anteriores como JuicyPotato dejaron de funcionar debido a cambios en la arquitectura de DCOM y RPC. Es una herramienta estándar en la fase de post-explotación cuando se comprometen servicios web o bases de datos.
Arquitectura y Modo de Funcionamiento
PrintSpoofer explota el servicio Print Spooler de Windows. La herramienta crea un Named Pipe con un nombre predecible y utiliza la API SeImpersonatePrivilege disponible en la cuenta del atacante. El ataque consiste en solicitar al servicio Spooler (que corre como SYSTEM) que actualice sus configuraciones y notifique al atacante conectándose al pipe creado previamente. Una vez que el proceso SYSTEM conecta al pipe, PrintSpoofer utiliza la función ImpersonateNamedPipeClient de la API de Windows para duplicar el token de acceso del cliente (SYSTEM) y crear un nuevo proceso con dichos privilegios.
Protocolos y TecnologÃas
TecnologÃas: Windows Named Pipes, API de Windows (Advapi32.dll).
Servicios: Print Spooler Service (spoolsv.exe).
Mecanismos: Token Impersonation, Inter-Process Communication (IPC).
Requisitos Técnicos
Sistema Operativo: Windows 10, Windows Server 2016, 2019 y 2022.
Privilegios: Requiere
SeImpersonatePrivilege(común en cuentas de servicio comoIIS AppPool\DefaultAppPool).Dependencias: El servicio Print Spooler debe estar ejecutándose en el objetivo.
Ver máquinas: Relevant (THM)