Llegamos a ustedes gracias a:



Alertas de Seguridad

Vulnerabilidad PrintNightmare

Se insta a las organizaciones a desplegar los parches lo antes posible

[07/07/2021] Microsoft ha comenzado a publicar actualizaciones de seguridad de emergencia para solucionar una vulnerabilidad de ejecución remota de código divulgada públicamente en la funcionalidad de impresión de Windows que podría permitir a los atacantes tomar el control total de los sistemas vulnerables.

La vulnerabilidad, apodada PrintNightmare y rastreada como CVE-2021-34527, se encuentra en el servicio Windows Print Spooler y los exploits públicos disponibles para ella están siendo mejorados. Se insta a las organizaciones a desplegar los parches lo antes posible o a desactivar la impresión remota entrante hasta que se puedan aplicar los parches.

La confusión de la vulnerabilidad lleva a la divulgación pública

Las actualizaciones mensuales de junio de Microsoft incluyeron un parche para otra vulnerabilidad en el servicio Windows Print Spooler rastreada como CVE-2021-1675 que se describió inicialmente como un problema de escalada de privilegios local (LPE). El descubrimiento de la vulnerabilidad se atribuyó a Zhipeng Huo, de Tencent Security, Piotr Madej, de Afine, y Yunhai Zhang, de Nsfocus.

El 29 de junio, otros dos investigadores de seguridad, Zhiniang Peng y Xuefeng Li, de Sangfor, publicaron un análisis de la CVE-2021-1675 en el que demostraban que la falla también puede explotarse para lograr la ejecución remota de código (RCE) y no solo la elevación de privilegios. Los investigadores dijeron que también habían descubierto la falla de forma independiente antes de que fuera comunicado a Microsoft, como parte de un análisis de seguridad más amplio de la funcionalidad de impresión de Windows. Ambos tienen previsto presentar sus hallazgos, que incluyen otras vulnerabilidades, en la próxima conferencia de seguridad BlackHat USA en una charla titulada "Diving Into Spooler: Discovering LPE and RCE Vulnerabilities in Windows Printer".

Lo que los investigadores de Sangfor no sabían cuando publicaron su análisis de CVE-2021-1675 RCE bajo el nombre de PrintNightmare, era que en realidad estaban describiendo una vulnerabilidad muy similar, pero finalmente diferente, contra la que el parche de junio de Microsoft no protegía. Microsoft revisó su informe y actualizó su aviso CVE-2021-1675 para describirlo como una vulnerabilidad RCE en lugar de LPE, y también creó un nuevo aviso para el nuevo defecto PrintNightmare, asignándole el ID CVE-2021-34527.

Los exploits de PrintNightmare y los vectores de ataque

Zhiniang Peng y Xuefeng Li retiraron su prueba de concepto cuando se dieron cuenta de la confusión, pero ya era demasiado tarde y otros investigadores comenzaron a analizarlo y ampliarlo. Ahora hay al menos tres implementaciones públicas de prueba de concepto para esta vulnerabilidad, y algunas tienen vectores de ataque adicionales.

El exploit original utilizaba el Protocolo Remoto del Sistema de Impresión (MS-RPRN), que limitaba el exploit a servidores Windows configurados como controladores de dominio o máquinas Windows 10 con configuraciones no predeterminadas como el Control de Cuentas de Usuario (UAC) desactivado o PointAndPrint NoWarningNoElevationOnInstall activado. Luego, otro investigador conocido en línea como Cube0x0 descubrió cómo el exploit también puede ser utilizado a través del Protocolo Remoto Asíncrono del Sistema de Impresión (MS-PAR). Según el desarrollador de Mimikatz, Benjamin Delpy, esto hace que la explotación de PrintNightmare sea posible en más máquinas Windows con configuraciones predeterminadas, no solo en los controladores de dominio. Delpy implementó la funcionalidad en Mimikatz, una herramienta de código abierto que es popular entre los probadores de penetración y los hackers maliciosos por igual.

Con la cantidad de información pública disponible y de implementaciones de exploits, los investigadores de seguridad creen que es solo cuestión de tiempo hasta que estos exploits sean utilizados en la naturaleza, si no lo han sido ya. El aviso de Microsoft afirma que todas las ediciones de Windows están afectadas y que se ha detectado la explotación de esta vulnerabilidad.

Parches y soluciones para PrintNightmare

Microsoft publicó el martes parches para un gran número de versiones de Windows afectadas -los enlaces están en el aviso-, pero aún no para Windows 10 1607, Windows Server 2012 y Windows Server 2016. Además, los investigadores de 0patch.com, un servicio que desarrolla los llamados microparches que pueden aplicarse a los procesos directamente en la memoria, han publicado parches gratuitos que, según ellos, también funcionan para las versiones de Windows que faltan y protegen contra todos los vectores de ataque conocidos actualmente.

Según un aviso del Centro de Coordinación del CERT, las actualizaciones disponibles de Microsoft solo mitigan las variantes de ejecución remota de código de los exploits y no las de escalada de privilegios local. Por ello, los analistas del CERT/CC recomiendan aplicar también las siguientes soluciones manuales sugeridas por Microsoft.

Solución 1: Desactivar el servicio Print Spooler: Si la desactivación del servicio Print Spooler es apropiada para su empresa, utilice los siguientes comandos de PowerShell:

  • Stop-Service -Name Spooler -Force
  • Set-Service -Name Spooler -StartupType Disabled

Impacto de la solución: Al deshabilitar el servicio Print Spooler se desactiva la capacidad de imprimir tanto local como remotamente.

Solución 2: Desactivar la impresión remota entrante a través de la directiva de grupo: Puede configurar las opciones para deshabilitar la impresión remota entrante a través de la directiva de grupo de la siguiente manera:

  • Configuración del equipo / Plantillas administrativas / Impresoras
  • Deshabilite la política "Permitir que la cola de impresión acepte conexiones de clientes:" para bloquear los ataques remotos.
  • Reinicie el servicio Print Spooler para que la política de grupo surta efecto.

Impacto de la solución: Esta política bloqueará el vector de ataque remoto impidiendo las operaciones de impresión remotas entrantes. El sistema dejará de funcionar como servidor de impresión, pero la impresión local en un dispositivo conectado directamente seguirá siendo posible.