Incluso cuando Microsoft amplió los parches para la llamada vulnerabilidad PrintNightmare para Windows 10 versión 1607, Windows Server 2012 y Windows Server 2016, ha salido a la luz que se puede omitir la solución para el exploit de ejecución remota de código en el servicio Windows Print Spooler. en ciertos escenarios, derrotando efectivamente las protecciones de seguridad y permitiendo que los atacantes ejecuten código arbitrario en los sistemas infectados.
El martes, el fabricante de Windows emitió una actualización de emergencia fuera de banda para abordar CVE-2021-34527 (puntaje CVSS: 8.8) después de que investigadores de la firma de seguridad cibernética con sede en Hong Kong, Sangfor, revelaran accidentalmente la falla a fines del mes pasado, en la que En ese momento, se supo que el problema era diferente de otro error, rastreado como CVE-2021-1675, que Microsoft corrigió el 8 de junio.
«Hace varios días, se encontraron dos vulnerabilidades de seguridad en el mecanismo de impresión existente de Microsoft Windows», dijo a The Hacker News Yaniv Balmas, jefe de investigación cibernética de Check Point. «Estas vulnerabilidades permiten que un atacante malicioso obtenga el control total de todos los entornos de Windows que permiten la impresión».
«Estas son en su mayoría estaciones de trabajo pero, a veces, esto se relaciona con servidores completos que son una parte integral de redes organizacionales muy populares. Microsoft clasificó estas vulnerabilidades como críticas, pero cuando se publicaron solo pudieron arreglar una de ellas, dejando la puerta abierta para exploraciones de la segunda vulnerabilidad”, agregó Balmas.
PrintNightmare se deriva de errores en el servicio de cola de impresión de Windows, que administra el proceso de impresión dentro de las redes locales. La principal preocupación con la amenaza es que los usuarios que no son administradores tenían la capacidad de cargar sus propios controladores de impresora. Esto ahora se ha rectificado.
«Después de instalar este [update] y actualizaciones posteriores de Windows, los usuarios que no son administradores solo pueden instalar controladores de impresión firmados en un servidor de impresión «, dijo Microsoft, detallando las mejoras realizadas para mitigar los riesgos asociados con la falla». un servidor de impresión en el futuro».
Después del lanzamiento de la actualización, el analista de vulnerabilidades CERT / CC Will Dormann advirtió que el parche «solo parece abordar las variantes de ejecución remota de código (RCE a través de SMB y RPC) de PrintNightmare, y no la variante de escalada de privilegios locales (LPE)», por lo tanto permitiendo a los atacantes abusar de este último para obtener privilegios de SISTEMA en sistemas vulnerables.
Ahora, más pruebas de la actualización han revelado que los exploits que apuntan a la falla podrían derivación el remediaciones completamente para obtener tanto la escalada de privilegios locales como la ejecución remota de código. Sin embargo, para lograr esto, se debe habilitar una política de Windows denominada «Restricciones de apuntar e imprimir» (Configuración del equipo Políticas Plantillas administrativas Impresoras: Restricciones de apuntar e imprimir), mediante la cual se podrían instalar controladores de impresora maliciosos.
«Tenga en cuenta que la actualización de Microsoft para CVE-2021-34527 no evita de manera efectiva la explotación de los sistemas donde Point and Print NoWarningNoElevationOnInstall está configurado en 1», dijo Dormann el miércoles. Microsoft, por su parte, explica en su aviso que «Point and Print no está directamente relacionado con esta vulnerabilidad, pero la tecnología debilita la postura de seguridad local de tal manera que la explotación será posible».
Si bien Microsoft ha recomendado la opción nuclear de detener y deshabilitar el servicio Print Spooler, una solución alternativa es habilitar las indicaciones de seguridad para Point and Print y limitar los privilegios de instalación del controlador de impresora a los administradores configurando el valor de registro «RestrictDriverInstallationToAdministrators» para evitar que los usuarios normales desde la instalación de controladores de impresora en un servidor de impresión.
ACTUALIZAR: En respuesta al informe de CERT/CC, Microsoft dijo el jueves:
«Nuestra investigación ha demostrado que el OOB [out-of-band] La actualización de seguridad funciona según lo diseñado y es eficaz contra las vulnerabilidades de cola de impresión conocidas y otros informes públicos que se denominan colectivamente PrintNightmare. Todos los informes que hemos investigado se han basado en el cambio de la configuración de registro predeterminada relacionada con Point and Print a una configuración insegura».
