Incluso cuando Microsoft amplió los parches para la vulnerabilidad denominada PrintNightmare para Windows 10 versión 1607, Windows Server 2012 y Windows Server 2016, ha salido a la luz que la solución para el exploit de ejecución remota de código en el servicio Windows Print Spooler se puede omitir. en ciertos escenarios, derrotar eficazmente las protecciones de seguridad y permitir que los atacantes ejecuten código arbitrario en los sistemas infectados.
El martes, el fabricante de Windows emitió una actualización de emergencia fuera de banda para abordar CVE-2021-34527 (puntuación CVSS: 8.8) después de que investigadores de la firma de ciberseguridad con sede en Hong Kong Sangfor revelaran accidentalmente la falla a fines del mes pasado, en el En ese punto, surgió que el problema era diferente de otro error, registrado como CVE-2021-1675 , que Microsoft corrigió el 8 de junio.
«Hace varios días, se encontraron dos vulnerabilidades de seguridad en el mecanismo de impresión existente de Microsoft Windows», dijo Yaniv Balmas, jefe de investigación cibernética de Check Point, a The Hacker News. «Estas vulnerabilidades permiten que un atacante malintencionado obtenga el control total de todos los entornos de Windows que permiten la impresión».
«En su mayoría son estaciones de trabajo pero, a veces, esto se relaciona con servidores completos que son una parte integral de redes organizacionales muy populares. Microsoft clasificó estas vulnerabilidades como críticas, pero cuando se publicaron, solo pudieron reparar una de ellas, dejando la puerta abierta para exploraciones de la segunda vulnerabilidad «, agregó Balmas.
PrintNightmare proviene de errores en el servicio Windows Print Spooler , que administra el proceso de impresión dentro de las redes locales. La principal preocupación con la amenaza es que los usuarios que no eran administradores tenían la capacidad de cargar sus propios controladores de impresora. Esto ahora se ha rectificado.
«Después de instalar esta [actualización] y las actualizaciones posteriores de Windows, los usuarios que no son administradores solo pueden instalar controladores de impresión firmados en un servidor de impresión» , dijo Microsoft , detallando las mejoras realizadas para mitigar los riesgos asociados con la falla. «Se necesitarán credenciales de administrador para instalar controladores de impresora sin firmar en un servidor de impresora en el futuro».
Después del lanzamiento de la actualización, el analista de vulnerabilidades de CERT / CC Will Dormann advirtió que el parche «solo parece abordar las variantes de ejecución remota de código (RCE a través de SMB y RPC) de PrintNightmare, y no la variante de escalada de privilegios locales (LPE)», por lo tanto permitiendo a los atacantes abusar de este último para obtener privilegios de SYSTEM en sistemas vulnerables.
Ahora, más pruebas de la actualización han revelado que los exploits dirigidos a la falla podrían evitar las remediaciones por completo para obtener tanto la escalada de privilegios locales como la ejecución remota de código. Sin embargo, para lograr esto, se debe habilitar una política de Windows llamada ‘ Restricciones de apuntar e imprimir ‘ (Configuración del equipo \ Políticas \ Plantillas administrativas \ Impresoras: Restricciones de apuntar e imprimir), mediante la cual se podrían instalar controladores de impresora maliciosos.
«Tenga en cuenta que la actualización de Microsoft para CVE-2021-34527 no previene de manera efectiva la explotación de sistemas donde Point and Print NoWarningNoElevationOnInstall está configurado en 1», dijo Dormann el miércoles. Microsoft, por su parte, explica en su aviso que «Point and Print no está directamente relacionado con esta vulnerabilidad, pero la tecnología debilita la postura de seguridad local de tal manera que la explotación será posible».
Si bien Microsoft recomendó la opción nuclear de detener y deshabilitar el servicio Print Spooler, una solución alternativa es habilitar los avisos de seguridad para Point and Print, y limitar los privilegios de instalación del controlador de impresora solo a los administradores configurando el valor de registro «RestrictDriverInstallationToAdministrators» para evitar que los usuarios habituales de instalar controladores de impresora en un servidor de impresión.
