Saltar al contenido
Cosas Tecnológicas

El parche de emergencia de Microsoft no solucionó la vulnerabilidad crítica “PrintNightmare”

Los investigadores dijeron que el parche de emergencia lanzado por Microsoft el martes no solucionó por completo una vulnerabilidad de seguridad crítica en todas las versiones compatibles de Windows que permitía a los atacantes tomar el control del sistema infectado y ejecutar el código de su elección.

Esta amenaza, conocida coloquialmente como PrintNightmare, se debe a un error en la cola de impresión de Windows, que proporciona funciones de impresión dentro de la red local. El código de vulnerabilidad de prueba de concepto se publicó públicamente y luego se retiró, pero antes de que otros lo copiaran. Los investigadores rastrearon la vulnerabilidad como CVE-2021-34527.

Un gran evento

Los atacantes que puedan aprovechar la función de impresión estarán expuestos en Internet. Una vez que el atacante usa diferentes vulnerabilidades para establecerse dentro de la red vulnerable, el atacante también puede usarla para aumentar los privilegios del sistema. En cualquier caso, el atacante puede controlar el controlador de dominio como un servidor para autenticar a los usuarios locales. Es uno de los activos más sensibles a la seguridad en cualquier red de Windows.

“Esta es la transacción más grande que he manejado en mucho tiempo”, dijo Will Dormann, analista senior de vulnerabilidades en el Centro de Coordinación CERT, un proyecto sin fines de lucro financiado por el gobierno federal de EE. UU. Que estudia errores de software y trabaja con empresas y gobiernos. para mejorar la seguridad. “En cualquier momento, si hay un código de explotación público para una vulnerabilidad sin parche, puede comprometer el controlador de dominio de Windows, eso es una mala noticia”.

Después de que se expuso la gravedad de la vulnerabilidad, Microsoft lanzó una solución fuera de banda el martes. Microsoft dijo que la actualización “resuelve completamente las vulnerabilidades públicas”. Pero el miércoles, un poco más de 12 horas después del lanzamiento, un investigador mostró cómo la vulnerabilidad pasa por alto el parche.

“Es difícil lidiar con cadenas y nombres de archivos”, dijo Benjamin Delpy, el desarrollador del hacker y la utilidad de red Mimikatz y otro software. Escribió en Twitter.

Junto al tweet de Delpy había un video que mostraba un exploit escrito apresuradamente para Windows Server 2019 con un parche fuera de banda. La demostración mostró que la actualización no puede reparar los sistemas vulnerables que usan ciertas configuraciones llamadas funciones de apuntar e imprimir, que facilitan a los usuarios de la red obtener los controladores de impresora que necesitan.

Tragedia de la pifia

El parche incompleto es el último error relacionado con la vulnerabilidad PrintNightmare. El mes pasado, el lote de parches mensuales de Microsoft corrige CVE-2021-1675, un error en la cola de impresión que permite a los piratas informáticos con permisos de sistema limitados en la máquina elevar sus permisos a los administradores. Microsoft cree que Huo Zhipeng de Tencent Security, Piotr Madej de Afine y Zhang Yunhai de Nsfocus descubrieron e informaron sobre la vulnerabilidad.

Unas semanas más tarde, Peng Zhiniang y Li Xuefeng, dos investigadores diferentes de Sangfor, publicaron un análisis de CVE-2021-1675, que muestra que se puede usar no solo para la escalada de privilegios, sino también para la ejecución remota de código. Los investigadores nombraron su vulnerabilidad PrintNightmare.

Al final, los investigadores determinaron que PrintNightmare explotó una vulnerabilidad similar (pero en última instancia diferente) a CVE-2021-1675. Peng Zhiniang y Li Xuefeng eliminaron sus vulnerabilidades de prueba de concepto después de enterarse de la confusión, pero sus vulnerabilidades habían circulado ampliamente en ese momento. Actualmente hay al menos tres vulnerabilidades de PoC disponibles públicamente, algunas de las cuales tienen funciones mucho más allá del alcance de la vulnerabilidad inicial.

La protección de reparación de Microsoft está configurada para un servidor Windows con un controlador de dominio o un dispositivo Windows 10 con la configuración predeterminada. Una demostración de Delpy el miércoles mostró que PrintNightmare es aplicable a una gama más amplia de sistemas, incluidos aquellos con Point and Print habilitado y la opción NoWarningNoElevationOnInstall seleccionada. Los investigadores implementaron el exploit en Mimikatz.

“Se requieren credenciales”

Además de intentar cerrar la vulnerabilidad de ejecución de código, la corrección del martes para CVE-2021-34527 también instaló un nuevo mecanismo que permite a los administradores de Windows aplicar restricciones más estrictas cuando los usuarios intentan instalar el software de la impresora.

“Antes de la instalación del 6 de julio de 2021 y las actualizaciones de Windows más recientes que incluyen la protección CVE-2021-34527, el grupo de seguridad del operador de la impresora puede instalar controladores de impresora firmados y sin firmar en el servidor de la impresora”, decía una copia del anuncio de Microsoft. “Después de instalar este tipo de actualización, los grupos de administradores delegados, como los operadores de impresoras, solo pueden instalar controladores de impresora firmados. En el futuro, se necesitarán credenciales de administrador para instalar controladores de impresora no firmados en el servidor de impresora”.

Aunque el parche fuera de banda del martes está incompleto, aún brinda una protección significativa contra múltiples tipos de ataques que aprovechan las vulnerabilidades de la cola de impresión. Hasta ahora, ningún investigador conocido ha dicho que esto ponga en riesgo el sistema. A menos que haya un cambio, los usuarios de Windows deben comenzar a instalar parches a partir de junio y martes y esperar más instrucciones de Microsoft. Los representantes de la empresa no comentaron de inmediato sobre este artículo.