Saltar al contenido

La última vulnerabilidad en el caso PrintNightmare de Microsoft

la-ultima-vulnerabilidad-en-el-caso-printnightmare-de-microsoft

Desde comienzos de Julio han estado circulando toda clase de noticias en torno a las vulnerabilidades conocidas como PrintNightmare, que afectan al servicio PrintSpooler (cola de impresión) del sistema operativo Windows.

Hablamos de ataques de tipo RCE o Remote Code Execution, uno de los peores escenarios posibles. De hecho, Microsoft lanzó un parche de seguridad out-of-band el día 7 de Julio para corregir el primer problema (CVE-2021-34527).

Pongamos un poco de contexto, ya que las vacaciones me impidieron hablar de este tema antes.

Vulnerabilidad en Print Spooler de Windows

Con un ataque exitoso sobre el PrintSpooler, un tercero podría realizar operaciones privilegiadas con ficheros, por tanto instalar programas, malware o alterar información. También podría añadir cuentas de usuario con privilegios completos.

Inicialmente, Microsoft ofreció dos mecanismos de mitigación temporal, para que los administradores de sistemas pudieran decidir si aplicarlos.

  • Deshabilitar el servicio de cola de impresión
  • Deshabilitar la impresión de entrada remota mediante una actualización de Políticas de Grupo.

La primera opción no era en absoluto ideal para muchos entornos. La segunda dejó de ser necesario en tanto Microsoft fue capaz de parchear el problema (KB5004945). A algunas impresoras no les sentó del todo bien este parche, ya que empleaban drivers no firmados por Microsoft.

reddit-printnightmare-patch-bug-kills-zebra-printer-functionality

El 19 de Julio llega una nueva “versión” de este tipo de vulnerabilidad, por cortesía de la Universidad Carngie Mellon.

En este caso, cualquier usuario (no administrador) es capaz de instalar drivers de impresoras a través de una característica conocida como “Point and Print“. Eso sí, cualquier driver cargado de este modo ya debe estar previamente firmado (aprobado) por Microsoft.

Aquí, los problemas derivan de los drivers de Microsoft para impresoras, que podrían designar ficheros específicos asociados con el uso de la impresora, y estos no tienen ningún requisito de firma y pueden copiarse al sistema mediante la instalación de drivers con Point and Print. Después, se podrán usar con privilegios de SYSTEM.

Nueva elevación de privilegios es posible

El investigador Benjamin Delpy ha estado investigando nuevmaente y ha dado con un nuevo exploit que ha compartido en Twitter, donde informa que es posible conseguir tanto ejecución remota de código como elevación local de privilegios utilizando PrintNightmare en un sistema Windows Server con todos los parches al día.

Ahora, se ha comprobado que es posible elevar a cualquier usuario a usuario SYSTEM, en sistemas operativos vulnerables. Incluso se sugiere que los hackers rusos estarían ya aprovechando la vulnerabilidad.

Mecanismos de defensa

Todo esto suena bastante mal (y de hecho así es) pero los administradores siguen teniendo mecanismos para defender los sistemas de estas vulnerabilidades.

En un controlador de dominio, establecer mediante Política de Grupo, la política “Package Point and print – Approved servers” como muestro a continuación (en inglés, en mi caso).

Esta política restringe los servidores que pueden contactarse desde cada endpoint para satisfacer esta característica.

Otro paso recomendado es desactivar “acceso saliente a CIFS/SMB/RPC” además del anterior.

Además, es absolutamente necesario deshabilitar SMBv1 (vulnerable) como ya expliqué y también los no vulnerables(v2 y v3) .

En cuanto a los usuarios individuales, se les debe instruir para que no instalen impresoras desconocidas.

Seguimos a la espera de que Microsoft termine de examinar y repare esta última vulnerabilidad, mientras tanto estad alerta.

Alejandro Ver todo

Trabajo como consultor de ciberseguridad y me gusta lo que hago. Aficionado a la informática / tecnología en general, me gusta compartir con la gente lo poco que sé. También soy aficionado al deporte y los videojuegos.

Deja tu comentario (puedes hacerlo de forma anónima)

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios .

A %d blogueros les gusta esto: