El parche de emergencia de Microsoft no corrige la vulnerabilidad crítica «PrintNightmare»


Calavera y tibias cruzadas en código binario

Un parche de emergencia lanzado por Microsoft el martes no puede solucionar por completo una vulnerabilidad de seguridad crítica en todas las versiones compatibles de Windows que permite a los atacantes tomar el control de los sistemas infectados y ejecutar el código de su elección, dijeron los investigadores.

Conocida coloquialmente como PrintNightmare, la amenaza proviene de un error en la cola de impresión de Windows, que proporciona capacidades de impresión en redes locales. El código de explotación de prueba de concepto se publicó públicamente y luego se retiró, pero no antes de que otros lo copiaran. Los investigadores están rastreando la vulnerabilidad como CVE-2021-34527.

Una gran cosa

Los atacantes pueden aprovecharlo de forma remota si las capacidades de impresión están disponibles en Internet. Los atacantes también pueden usarlo para escalar los privilegios del sistema una vez que hayan aprovechado otra vulnerabilidad para afianzarse en una red vulnerable. En ambos casos, los atacantes pueden tomar el control del controlador de dominio, que, como servidor que autentica a los usuarios locales, es uno de los activos más críticos para la seguridad en cualquier red de Windows.

«Este es el mayor acuerdo que he hecho en mucho tiempo», dijo Will Dormann, analista senior de vulnerabilidades en el Centro de Coordinación CERT, un proyecto sin fines de lucro financiado por el gobierno en los Estados Unidos que investiga errores de software y funciona con empresas y gobiernos para lograr mejoras. Seguridad. «Cada vez que hay un código de explotación público para una vulnerabilidad sin parche que podría comprometer un controlador de dominio de Windows, eso es una mala noticia».

Después de que se conoció la gravedad del error, Microsoft lanzó una solución fuera de banda el martes. Según Microsoft, la actualización «elimina por completo la vulnerabilidad de seguridad pública». Pero el miércoles, poco más de 12 horas después de su lanzamiento, un investigador mostró cómo los exploits pueden evitar el parche.

«Tratar con cadenas y nombres de archivos es difícil», dice Benjamin Delpy, desarrollador de la utilidad de piratería y redes Mimikatz y otro software. escribió en Twitter.

El tweet de Delpy acompañó a un video que muestra un exploit escrito apresuradamente que funciona contra un Windows Server 2019 que tenía instalado el parche fuera de banda. La demostración muestra que la actualización no corrige los sistemas vulnerables que usan ciertas configuraciones para una función llamada Apuntar e imprimir, lo que facilita a los usuarios de la red obtener los controladores de impresora que necesitan.

En la parte inferior del aviso del martes de Microsoft dice: «Point and Print no está directamente relacionado con esta vulnerabilidad, pero la tecnología debilita la situación de seguridad local de tal manera que puede ser explotada».

Una tragedia de deslices

El parche incompleto es el último error relacionado con la vulnerabilidad PrintNightmare. El mes pasado, el lote de parches mensual de Microsoft, CVE-2021-1675, solucionó un error en la cola de impresión que permitía a los piratas informáticos con derechos de sistema limitados en una computadora extender privilegios a los administradores. Microsoft le da crédito a Zhipeng Huo de Tencent Security, Piotr Madej de Afine y Yunhai Zhang de Nsfocus por descubrir y reportar el error.

Unas semanas más tarde, dos investigadores diferentes, Zhiniang Peng y Xuefeng Li de Sangfor, publicaron un análisis de CVE-2021-1675 que mostró que podría explotarse no solo para la escalada de privilegios sino también para la ejecución remota de código. Los investigadores llamaron a su exploit PrintNightmare.

Finalmente, los investigadores encontraron que PrintNightmare estaba explotando una vulnerabilidad que era similar (pero en última instancia diferente) a CVE-2021-1675. Zhiniang Peng y Xuefeng Li eliminaron su exploit de prueba de concepto cuando se enteraron de la confusión, pero en ese momento su hazaña ya estaba generalizada. Actualmente hay al menos tres exploits PoC disponibles públicamente, algunos de los cuales van mucho más allá de lo que permitía el exploit original.

La solución de Microsoft protege los servidores Windows configurados como controladores de dominio o dispositivos Windows 10 que usan la configuración predeterminada. La demostración de Delpy del miércoles muestra que PrintNightmare funciona con una gama mucho más amplia de sistemas, incluidos aquellos que tienen habilitada la opción Point and Print y la opción NoWarningNoElevationOnInstall seleccionada. El investigador implementó el exploit en Mimikatz.

«Se requieren credenciales»

Además de intentar abordar la vulnerabilidad de ejecución de código, la solución del martes para CVE-2021-34527 también instala un nuevo mecanismo que permite a los administradores de Windows implementar restricciones más estrictas cuando los usuarios intentan instalar el software de la impresora.

«Antes de instalar las actualizaciones de Windows del 6 de julio de 2021 y posteriores con protección para CVE-2021-34527, el grupo de seguridad del operador de la impresora pudo instalar controladores de impresora firmados y no firmados en un servidor de impresión», dice una recomendación de Microsoft. “Después de instalar dichas actualizaciones, los grupos de administradores delegados, como los operadores de impresoras, solo pueden instalar controladores de impresora firmados. Se requieren credenciales de administrador para instalar controladores de impresora sin firmar en un servidor de impresión «.

Aunque el parche fuera de banda del martes está incompleto, todavía proporciona una protección razonable contra muchos tipos de ataques que aprovechan la vulnerabilidad del spooler de impresión. Hasta ahora, no se conocen casos en los que los investigadores hayan dicho que pone en riesgo los sistemas. A menos que eso cambie, los usuarios de Windows deben instalar el parche de junio y el martes y esperar más instrucciones de Microsoft. Los representantes de la empresa no hicieron comentarios de inmediato sobre esta publicación.



Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *