Apenas unos días después de que Microsoft activara una alarma por una vulnerabilidad de seguridad no corregida en Windows Print Spooler, es posible que se haya producido otro error de día cero en el mismo componente, lo que lo convierte en el cuarto error relacionado con la impresora descubierto en las últimas semanas.
«Microsoft Windows permite que quienes no son administradores instalen controladores de impresora usando Point and Print», dijo Will Dormann del Centro de Coordinación CERT en un informe publicado el domingo. «Las impresoras instaladas con esta técnica también instalan archivos específicos de la cola, que pueden ser cualquier biblioteca que cargue el proceso privilegiado de Windows Print Spooler».
El investigador y creador de seguridad Mimikatz ha descubierto un exploit para esta vulnerabilidad. Benjamín Delpy.
# prensa polilla – Episodio 4
¿Sabes qué es mejor que una impresora kiwi legítima?
🥝Otra impresora kiwi legítima… 👍Sin requisitos previos, ni siquiera tiene que firmar controladores/paquetes pic.twitter.com/oInb5jm3tE
– Del Benjamín Delpy (@gentilkiwi) 16 de julio de 2021
Específicamente, la vulnerabilidad permite que un actor de amenazas ejecute código arbitrario con privilegios de SISTEMA en una computadora Windows vulnerable al conectarse a un servidor de impresión malicioso bajo su control.
Aunque no existe una solución alternativa, CERT/CC recomienda que configure «PackagePointAndPrintServerList» para evitar la instalación de impresoras desde cualquier servidor y bloquear el tráfico SMB saliente en el límite de la red, ya que los exploits públicos aprovechan las SMB para conectarse a impresoras compartidas maliciosas.
El nuevo lanzamiento es solo la última evidencia del impacto de un error de PrintNightmare el mes pasado, que reveló una serie de vulnerabilidades que afectan a Print Spooler.
Debido a la falta de detalles en CVE-2021-34481 – Error de escalada de privilegios locales (LPE) informado por el investigador de seguridad Jacob Baines – no está inmediatamente claro qué conexión, si la hay, puede tener una vulnerabilidad y esta nueva elusión de la verificación de firmas de Print Spooler, que también permite que los LPE interfieran entre sí.
Cuando un portavoz de Microsoft se refirió a la respuesta, The Hacker News dijo que «estamos investigando las noticias y tomando las medidas necesarias para proteger a los clientes».
