Todo sobre la vulnerabilidad día cero de Windows PrintNightmare

Actualidadvulnerabilidad

Ha aparecido un error crítico de Windows con el identificador oficial de MITRE CVE-2021-1675, corregido en la actualización del martes de parches de junio de 2020 de Microsoft que se emitió el pasado 8 de junio de 2021 pero esta vulnerabilidad, escondía algunas otras sorpresas.

También es conocido como el error de la cola de impresión, según el título de la guía de actualización de seguridad de Microsoft que lo describe como una vulnerabilidad de la cola de impresión de Windows.

Microsoft documentó inicialmente el error como una EoP (elevación de privilegios) en casi todas las versiones compatibles de Windows, desde Windows 7 SP1 hasta Server 2019.

Las versiones ARM64 de Windows, asÍ como las de Server Core (instalaciones minimalistas de productos de Windows Server) e incluso Windows RT 8.1, figuraron en la lista de plataformas afectadas.

Pero el pasado 21 de junio, Microsoft actualizó la información sobre la CVE-2021-1675 para admitir que el error también podría usarse para una RCE (Ejecución Remota de Código), lo que la convierte en una vulnerabilidad mucho más grave que una EoP.

Como probablemente sepas, una elevación de privilegios significa que alguien que ya ha comprometido tu ordenador, pero con permisos únicamente de usuario y no de administrador, , puede promocionar su sesión  a una cuenta con más privilegios sin necesidad de conocer la contraseña para ese tipo de  cuenta.

Un atacante que pudiera promocionarse a sí mismo a la cuenta SYSTEM local, por ejemplo, podría hacer mucho más que simplemente leer, copiar o cifrar archivos (por muy malo que esto sea por sí solo).

Con acceso a la cuenta SYSTEM, el atacante podría capturar todo el tráfico de la red, cargar y descargar controladores del kernel, cambiar la configuración de seguridad que está fuera del alcance de los usuarios habituales, rastrear la memoria de cada proceso en busca de datos importantes como números de tarjetas de crédito o contraseñas que nunca se guardan en el disco y mucho más.

Por definición, eso es bastante preocupante, pero una RCE indica un error por el cual los ciberdelincuentes pueden acceder a tu ordenador; si el error además también permite EoP, entonces eso esto lo complica aún mas, porque esencialmente combina la intrusión y el control en un único agujero de seguridad.

Por supuesto, la actualización en la gravedad de CVE-2021-1675 de EoP a RCE no importaba, o eso pensaba todo el mundo, siempre que ya se hubiera aplicado la actualización de seguridad liberada .

Después de todo, cerrar un agujero de seguridad te protege tanto si ese agujero es un EoP, un RCE o ambos.

No todos los errores son iguales

Aparentemente, lo que sucedió a continuación fue un lamentable error de publicación.

Los investigadores de la empresa de ciberseguridad Sangfor, que se estaban preparando para presentar un artículo sobre los errores de la cola de impresión en la próxima conferencia de Black Hat en agosto de 2021,  decidieron que sería seguro divulgar su  prueba de concepto antes de lo previsto.

Después de todo, ¿qué daño tiene discutir y demostrar abiertamente el error RCE de la cola de impresión, dado que ahora estaba documentado públicamente como un RCE y había sido parcheado dos semanas antes?

Probablemente puedas adivinar como acabo esto.

Parece que el error de cola de impresión recientemente revelado por los investigadores de Sangfor no era en realidad el mismo agujero de seguridad que se solucionó via actualización de parches.

En resumen, el equipo de Sangfor documentó inesperadamente un error de RCE aún no revelado, lo que desencadenó involuntariamente un exploit de día cero.

Los investigadores, aparentemente eliminaron la información una vez que se dieron cuenta del problema, pero para entonces ya era demasiado tarde, porque el código de explotación ya se había descargado y vuelto a publicar en otro lugar.

La caja de Pandora ya se había abierto y era demasiado tarde para volver a cerrarla.

El error nuevo y sin parche ahora se describe ampliamente con el sobrenombre de PrintNightmare: es una vulnerabilidad de ejecución remota de código de cola de impresión de Windows, al igual que CVE-2021-1675, pero la última actualización del martes de parches no lo soluciona.

De hecho, varios investigadores independientes han publicado capturas de pantalla en Twitter que muestran el éxito del nuevo exploit en un servidor Windows que ya tiene instalados los parches de junio de 2021 de Microsoft.

¿Qué hacer?

Aún no hay un parche oficial [2021-06-30T21:00Z].

Suponemos que Microsoft lanzará una solución lo antes posible, tal vez incluso antes de que lleguen las actualizaciones de parches del próximo mes (12 de julio de 2021), si se puede crear un parche fiable a tiempo.

Estate atento a las actualizaciones e impleméntelas tan pronto como puedas una vez que estén disponibles.

Hasta entonces, parece que deshabilitar la cola de impresión en ordenadores vulnerables es una solución alternativa satisfactoria.

Si tienes servidores en los que es absolutamente necesario dejar la cola de impresión en ejecución, sugerimos que limites el acceso a la red a esos servidores tan estrictamente como puedas, incluso si eso significa que algunos de los usuarios experimenten inconvenientes temporales.

Si tienes servidores en los que se está ejecutando la cola de impresión pero de hecho no es necesaria, apágala y déjala apagada incluso después de que salga el parche para este error, según el principio de no exponer una superficie de ataque mayor de la necesaria.

Además, sigue conectado con nosotros ¡actualizaremos cuando tengamos más información!

Mientras lo haces, asegúrate de haber instalado correctamente la corrección CVE-2021-1675. ¡No tiene mucho sentido perseguir este nuevo error de RCE para el que aún no hay un parche si todavía estás expuesto al antiguo error de RCE que sí tiene un parche!

1 Comentario

Leave a Reply

Your email address will not be published.