La última vulnerabilidad en el caso PrintNightmare de Microsoft
Desde comienzos de Julio han estado circulando toda clase de noticias en torno a las vulnerabilidades conocidas como PrintNightmare, que afectan al servicio PrintSpooler (cola de impresión) del sistema operativo Windows.
Hablamos de ataques de tipo RCE o Remote Code Execution, uno de los peores escenarios posibles. De hecho, Microsoft lanzó un parche de seguridad out-of-band el día 7 de Julio para corregir el primer problema (CVE-2021-34527).
Pongamos un poco de contexto, ya que las vacaciones me impidieron hablar de este tema antes.
Vulnerabilidad en Print Spooler de Windows
Con un ataque exitoso sobre el PrintSpooler, un tercero podría realizar operaciones privilegiadas con ficheros, por tanto instalar programas, malware o alterar información. También podría añadir cuentas de usuario con privilegios completos.
Inicialmente, Microsoft ofreció dos mecanismos de mitigación temporal, para que los administradores de sistemas pudieran decidir si aplicarlos.
- Deshabilitar el servicio de cola de impresión
- Deshabilitar la impresión de entrada remota mediante una actualización de Políticas de Grupo.
La primera opción no era en absoluto ideal para muchos entornos. La segunda dejó de ser necesario en tanto Microsoft fue capaz de parchear el problema (KB5004945). A algunas impresoras no les sentó del todo bien este parche, ya que empleaban drivers no firmados por Microsoft.
El 19 de Julio llega una nueva «versión» de este tipo de vulnerabilidad, por cortesía de la Universidad Carngie Mellon.
En este caso, cualquier usuario (no administrador) es capaz de instalar drivers de impresoras a través de una característica conocida como «Point and Print«. Eso sí, cualquier driver cargado de este modo ya debe estar previamente firmado (aprobado) por Microsoft.
Aquí, los problemas derivan de los drivers de Microsoft para impresoras, que podrían designar ficheros específicos asociados con el uso de la impresora, y estos no tienen ningún requisito de firma y pueden copiarse al sistema mediante la instalación de drivers con Point and Print. Después, se podrán usar con privilegios de SYSTEM.
Nueva elevación de privilegios es posible
El investigador Benjamin Delpy ha estado investigando nuevmaente y ha dado con un nuevo exploit que ha compartido en Twitter, donde informa que es posible conseguir tanto ejecución remota de código como elevación local de privilegios utilizando PrintNightmare en un sistema Windows Server con todos los parches al día.
Mecanismos de defensa
Todo esto suena bastante mal (y de hecho así es) pero los administradores siguen teniendo mecanismos para defender los sistemas de estas vulnerabilidades.
En un controlador de dominio, establecer mediante Política de Grupo, la política «Package Point and print – Approved servers» como muestro a continuación (en inglés, en mi caso).
Esta política restringe los servidores que pueden contactarse desde cada endpoint para satisfacer esta característica.
Otro paso recomendado es desactivar «acceso saliente a CIFS/SMB/RPC» además del anterior.
Además, es absolutamente necesario deshabilitar SMBv1 (vulnerable) como ya expliqué y también los no vulnerables(v2 y v3) .
En cuanto a los usuarios individuales, se les debe instruir para que no instalen impresoras desconocidas.
Seguimos a la espera de que Microsoft termine de examinar y repare esta última vulnerabilidad, mientras tanto estad alerta.
Categories
deweloper View All
Trabajo como consultor de ciberseguridad y me gusta lo que hago. Aficionado a la informática / tecnología en general, me gusta compartir con la gente lo poco que sé. También soy aficionado al deporte y los videojuegos.