El parche #PrintNightmare incompleto de Microsoft NO soluciona la vulnerabilidad

Anoche, Microsoft lanzó una actualización de seguridad KB5004945 fuera de banda (CVE-2021-34527) que se suponía que arreglaba la vulnerabilidad #PrintNightmare que los investigadores revelaron por accidente el mes pasado.

• Windows 10, version 21H1 (KB5004945)
• Windows 10, version 20H2 (KB5004945)
• Windows 10, version 2004 (KB5004945)
• Windows 10, version 1909 (KB5004946)
• Windows 10, version 1809 and Windows Server 2019 (KB5004947)
• Windows 10, version 1803 (KB5004949) [Not available yet]
• Windows 10, version 1507 (KB5004950)
• Windows 8.1 and Windows Server 2012 (Monthly Rollup KB5004954 / Security only KB5004958)
• Windows 7 SP1 and Windows Server 2008 R2 SP1 (Monthly Rollup KB5004953 / Security only KB5004951)
• Windows Server 2008 SP2 (Monthly Rollup KB5004955 / Security only KB5004959)

Después del lanzamiento de la actualización, los investigadores de seguridad Matthew Hickey, cofundador de Hacker House, y Will Dormann, analista de vulnerabilidades de CERT/CC, determinaron que Microsoft solo solucionó el componente de ejecución remota de código de la vulnerabilidad.

Sin embargo, el malware y los actores de amenazas aún podrían usar el componente de escalamiento de privilegios local para obtener privilegios de SYSTEM en sistemas vulnerables para versiones antiguas de Windows y versiones actuales con la política Point and Print habilitada.

Hoy miércoles, a medida que más investigadores comenzaron a modificar sus exploits y probar el parche, se determinó que se podría omitir todo el parche por completo para lograr tanto el escalamiento de privilegios locales (LPE) como la ejecución remota de código (RCE). Según el creador de Mimikatz, Benjamin Delpy, el parche podría omitirse completamente para lograr la ejecución remota de código.

Por lo tanto, todavía se aconseja a los administradores y usuarios que desactiven el servicio Print Spooler para proteger sus servidores y estaciones de trabajo de Windows hasta que se publique un parche que funcione.

0patch también ha lanzado un microparche gratuito para PrintNightmare que ha podido bloquear los intentos de explotar la vulnerabilidad. Sin embargo, advierten contra la instalación del parche del 6 de julio de Microsoft, ya que no solo no protege contra las vulnerabilidades, sino que modifica el archivo 'localspl.dll', por lo que el parche de 0Patch dejaría de funcionar: "Si está usando 0patch contra PrintNightmare, ¡NO aplique la actualización de Windows del 6 de julio!" .

Se recomienda a los usuarios y administradores de Windows que realicen una de las siguientes acciones:

• No instalar el parche del 6 de julio e instalar el microparche de 0Patch en su lugar, hasta que se publique un parche que funcione de Microsoft.
• Deshabilitar el Spooler de impresión siguiendo las instrucciones aquí.

PrintNightmare es una vulnerabilidad en Windows Print Spooler causada por una falta de verificación de ACL (Lista de Control de Acceso) en las funciones de la API de Windows AddPrinterDriverEx(), RpcAddPrinterDriver() y RpcAsyncAddPrinterDriver() que se utilizan para instalar un controlador de impresora local o remoto. Con PrintNightmare, se puede omitir una verificación de permisos para instalar una DLL maliciosa en la carpeta C:\Windows\System32\spool\drivers que luego el exploit carga como un controlador de impresión para lograr la ejecución remota de código o el escalamiento local de privilegios.

Si bien el parche OOB de Microsoft se centró en bloquear la explotación remota de la vulnerabilidad, Hickey afirma que no abordaron la verificación de ACL subyacente que permite la creación de exploits modificados.

Fuente: BC

Suscríbete a nuestro Boletín