Deshabilite la cola de impresión de Windows para evitar hackeos, informa Microsoft a sus clientes


Deshabilite la cola de impresión de Windows para evitar hackeos, informa Microsoft a sus clientes

imágenes falsas

Microsoft encontró otra trampa en sus esfuerzos por bloquear la cola de impresión de Windows cuando el fabricante de software advirtió a los clientes el jueves que deshabilitaran el servicio para corregir una nueva vulnerabilidad que ayudará a los atacantes a ejecutar código malicioso en computadoras completamente parcheadas.

La vulnerabilidad es la tercera vulnerabilidad relacionada con la impresora en Windows que salió a la luz en las últimas cinco semanas. Un parche de error de ejecución de código remoto lanzado por Microsoft en junio no solucionó un error similar pero distinto llamado PrintNightmare, que también permitió a los atacantes ejecutar código malicioso en computadoras completamente parcheadas. Microsoft lanzó un parche no programado para PrintNightmare, pero la solución no evitó las vulnerabilidades en computadoras con ciertas configuraciones.

Traiga su propio controlador de impresora

El jueves, Microsoft advirtió sobre un nuevo agujero de seguridad en la cola de impresión de Windows. El error de escalada de privilegios, registrado como CVE-2021-34481, permite a los piratas informáticos que ya tienen la capacidad de ejecutar código malicioso con privilegios de sistema limitados elevar esos privilegios. La elevación permite que el código acceda a partes sensibles de Windows para que el malware pueda ejecutarse cada vez que se reinicia una computadora.

«Existe una vulnerabilidad de elevación de privilegios cuando el Servicio de cola de impresión de Windows realiza incorrectamente operaciones de archivos privilegiados», escribió Microsoft en el aviso del jueves. “Un atacante que aproveche con éxito esta vulnerabilidad podría ejecutar código arbitrario con privilegios de SISTEMA. Entonces, un atacante podría instalar programas; Ver, cambiar o eliminar datos; o cree nuevas cuentas con todos los derechos de usuario «.

Microsoft dijo que el atacante primero debe poder ejecutar código en el sistema de la víctima. La recomendación califica las explotaciones en la naturaleza como «más probables». Microsoft continúa aconsejando a los clientes que instalen las actualizaciones de seguridad publicadas anteriormente. Una cola de impresión es un software que gestiona el envío de trabajos a la impresora almacenando temporalmente los datos en un búfer y procesando los trabajos de forma secuencial o según la prioridad del trabajo.

«La solución para esta vulnerabilidad es detener y deshabilitar el servicio de cola de impresión», dijo la recomendación del jueves. Ofrece varios métodos que los clientes pueden utilizar para hacer esto.

La vulnerabilidad fue descubierta por Jacob Baines, un investigador de vulnerabilidades de la firma de seguridad Dragos, quien dará una charla titulada «Traiga su propia vulnerabilidad de controlador de impresión» en la Convención Defcon Hacker el próximo mes. El resumen de la presentación dice:

¿Qué puede hacer usted como atacante si se encuentra como un usuario de Windows con pocos derechos y sin una ruta al SISTEMA? ¡Instale un controlador de impresora vulnerable! En esta charla, aprenderá cómo introducir controladores de impresora vulnerables en un sistema completamente parcheado. Luego, usando tres ejemplos, aprenderá cómo escalar a SYSTEM con los controladores susceptibles «.

En un correo electrónico, Baines dijo que informó sobre la vulnerabilidad a Microsoft en junio y que no sabía por qué Microsoft publicó el aviso ahora.

«Me sorprendió el aviso porque fue muy abrupto y no estaba relacionado con la fecha límite que les di (el 7 de agosto) o un parche», escribió. «Cualquiera de esas dos cosas (la divulgación pública por parte de los investigadores o la disponibilidad de un parche) generalmente resulta en una recomendación pública. No estoy seguro de qué los motivó a publicar la recomendación sin un parche. Eso generalmente va en contra del objetivo de un programa de divulgación . Pero por mi parte, no he revelado los detalles de la vulnerabilidad públicamente y no lo haré hasta el 7 de agosto. Es posible que haya visto los detalles en otra parte, pero yo no «.

Microsoft dijo que estaba trabajando en un parche, pero no proporcionó un calendario para su lanzamiento.

Baines, quien dijo que realizó la investigación fuera de su responsabilidad en Dragos, describió la gravedad de la vulnerabilidad como «media».

«Tiene una puntuación CVSSv3 de 7,8 (o alta), pero al final del día es sólo una escalada de privilegios locales», explicó. «En mi opinión, la vulnerabilidad en sí misma tiene algunas propiedades interesantes de las que vale la pena hablar, pero constantemente se encuentran nuevos problemas con los derechos locales en aumento en Windows».

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *