Nueva vulnerabilidad publicada de #PrintNightmare

La pesadilla, nunca mejor dicho, de PrintNightmare no deja de añadir nuevos episodios, en forma de nuevas vulnerabilidades que afectan a los componentes del sistema de impresión de Windows en sus diferentes versiones. El último elemento en sumarse a la lista el martes pasado es la vulnerabilidad CVE-2021-36958, la cual ya fue reportada a Microsoft a finales del año pasado, si bien no ha sido hasta el afloramiento de todos los problemas con el sistema de impresión, que la compañía ha afrontado también este problema.

En este caso, la vulnerabilidad está relacionada con cómo se gestionan los archivos que cuentan con privilegios del sistema. Y es que, de nuevo, la falta de medidas de seguridad a la hora de ejecutar binarios supuestamente confiables en algún proceso relacionado con el sistema de impresión, es decir, lo que viene definiendo a PrintNightmare desde sus inicios, se puede traducir en la ejecución de código arbitrario, que comprometería la seguridad del sistema afectado.

De acuerdo a Benjamin Delpy, esta vulnerabilidad permite a los actores de amenazas obtener rápidamente privilegios de SYSTEM simplemente conectándose a un servidor de impresión remoto, como se muestra en este video.

En este caso, eso sí, la vulnerabilidad resulta algo menos preocupante, pues a diferencia de otras englobadas en PrintNightmare, en este caso es de índole exclusivamente local, es decir, que no puede ser explotada remotamente. Es necesario que todo el ataque sea perpetrado y efectuado de manera local, en el sistema a atacar. Esto, sin duda, reduce los riesgos, pero no los erradica, y por ejemplo en un ataque en el que el atacante consiga desplazarse lateralmente hasta el servidor a atacar, o a un sistema de confianza del mismo, sí que podría llegar a armar un ataque.

Todavía no hay solución, pero Microsoft ha afirmado que está trabajando en ello y que la publicará a la mayor brevedad, lo que es de agradecer. Mientras tanto, lo mejor es deshabilitar las funciones de servidor de impresión en todos aquellos equipos en los que no sea necesaria y, en aquellos en los que sí, revisar todas las políticas para reducir a lo imprescindible los permisos de ejecución de software por parte del sistema de impresión. De nuevo, la misma solución que ante el resto de amenazas de PrintNightmare.

Más en el medio plazo, es evidente que Microsoft tiene que hacer algo con el sistema de impresión de Windows. Los hallazgos de estos últimos meses nos han dejado con el sabor de boca de que hablamos de un componente tremendamente inseguro, y en base a esto tiene sentido pensar que PrintNightmare todavía se prolongará más en el tiempo, con nuevas vulnerabilidades que degradarán todavía más la ya poca confianza que tenemos en el sistema de impresión de Windows.

Evidentemente es una tarea muy compleja, pero tengo plena confianza en que los responsables de Microsoft ya son plenamente conscientes de este problema, y de la necesidad de devolver la confianza a los usuarios, algo que probablemente ya no se pueda lograr simplemente con parches para los problemas a medida que vayan apareciendo. Y soy consciente de que no es buen momento, PrintNightmare ha aparecido justo de la mano del lanzamiento de Windows 365 y el inminente lanzamiento de Windows 11, lo que puede retrasar las labores en este sentido. Pero es algo que tienen que hacer más pronto que tarde.

Fuente: Muy Seguridad

Suscríbete a nuestro Boletín