Nueva vulnerabilidad sin parchear en Windows Print Spooler #PrintNightmare

Microsoft ha advertido sobre una nueva vulnerabilidad que se ha descubierto en su cola de impresión de Windows que puede permitir a los atacantes elevar los privilegios para obtener derechos de usuario completos en un sistema. El aviso viene inmediatamente después de parchear otros dos errores de ejecución remota de código (RCE) encontrados en el servicio de impresión que se conocieron colectivamente como PrintNightmare.

La compañía publicó el aviso el jueves por la noche para el último error, una vulnerabilidad de elevación de privilegios de Windows Print Spooler identificada como CVE-2021-34481. Microsoft le dio crédito al investigador de vulnerabilidades de Dragos, Jacob Baines, por identificar el problema.

La vulnerabilidad "existe cuando el servicio Windows Print Spooler realiza incorrectamente operaciones con archivos privilegiados", según Microsoft. Los atacantes que explotan con éxito el error pueden ejecutar código arbitrario con privilegios de SYSTEM, lo que les permite instalar programas, ver, cambiar o eliminar datos, o crear nuevas cuentas con derechos de usuario completos, dijo la compañía.

Po ahora, para solucionar el error, los administradores y los usuarios deben detener y deshabilitar el servicio de cola de impresión, dijo Microsoft.

Esta vulnerabilidad es la última de una serie de problemas descubiertos en Windows Print Spooler, pero parece un poco menos peligrosa, ya que solo se puede explotar localmente: califica 7.8 sobre 10 en la escala de vulnerabilidad-severidad de CVSS.

De hecho, Baines le dijo a BleepingComputer que si bien el error está relacionado con el controlador de impresión, "el ataque no está realmente relacionado con PrintNightmare". Baines planea revelar más sobre la vulnerabilidad poco conocida en una próxima presentación en DEFCON en agosto: "Bring Your Own Print Driver Vulnerability."

Toda la saga que rodea a Windows Print Spooler comenzó el martes 30 de junio, cuando se lanzó una prueba de concepto (PoC) para una vulnerabilidad inicial en el servicio de impresión en GitHub que muestra cómo un atacante puede aprovechar la falla para tomar el control de un sistema afectado.

La respuesta a la situación pronto se convirtió en confusión. Aunque Microsoft lanzó una actualización para CVE-2021-1675 en su serie habitual de actualizaciones mensuales de junio, arreglando lo que pensaba que era una vulnerabilidad menor de elevación de privilegios. La lista se actualizó más adelante en la semana después de que investigadores de Tencent y NSFOCUS TIANJI Lab descubrió que podría usarse para RCE.

Sin embargo, poco después quedó claro para muchos expertos que el parche inicial de Microsoft no solucionaba todo el problema. El gobierno federal incluso intervino el jueves pasado, cuando CERT/CC ofreció su propia mitigación para PrintNightmare que Microsoft adoptó desde entonces, aconsejando a los administradores de sistemas que desactiven el servicio Windows Print Spooler en los controladores de dominio y los sistemas que no deben imprimir.

Stop-Service -Name Spooler -Force
Set-Service -Name Spooler -StartupType Disabled

Para complicar aún más las cosas, Microsoft también eliminó el jueves pasado un aviso de un error llamado "Vulnerabilidad de ejecución remota de código de Windows Print Spooler" que parecía ser la misma vulnerabilidad, pero con un número CVE diferente, en este caso, CVE-2021-34527. La compañía explicó que el segundo error era similar a la vulnerabilidad PrintNightmare anterior, pero también su propia entidad distinta.

Finalmente, Microsoft lanzó el miércoles pasado un parche acumulativo de emergencia para ambos errores de PrintNightmare que incluía todos los parches anteriores, así como protecciones para CVE-2021-1675, así como una nueva corrección para CVE-2021-34527.

Sin embargo, esa corrección también estaba incompleta, y Microsoft continúa trabajando en más soluciones, ya que también trabaja para parchear este último error, CVE-2021-34481. Mientras tanto, los clientes afectados deben instalar las actualizaciones más recientes de Microsoft y utilizar la solución para evitar la explotación, dijo la compañía.

Actualización 30/07: scanner de red para PrintNightmare.

Fuente: ThreatPost

Suscríbete a nuestro Boletín