Microsoft aún no puede parchear el error crítico ‘PrintNightmare’

Un parche de emergencia El lanzamiento de Microsoft el martes no aborda por completo una vulnerabilidad crítica en todas las versiones compatibles de Windows que permite a los atacantes tomar el control de los sistemas infectados y ejecutar el código de su elección, dijeron los investigadores.

Conocida coloquialmente como PrintNightmare, la amenaza proviene de un error en la cola de impresión de Windows, que proporciona capacidades de impresión en redes locales. El código de explotación de prueba de concepto se publicó públicamente y luego se retiró, pero no antes de que otros lo copiaran. Los investigadores están rastreando la vulnerabilidad como CVE-2021-34527.

Los atacantes pueden explotarlo de forma remota si las funciones de impresión están expuestas a Internet. Los atacantes también pueden usarlo para escalar los privilegios del sistema una vez que hayan aprovechado otra vulnerabilidad para afianzarse en una red vulnerable. En ambos casos, los atacantes pueden tomar el control del controlador de dominio, que, como servidor que autentica a los usuarios locales, es uno de los activos más críticos para la seguridad en cualquier red de Windows.

«Este es el mayor negocio con el que me he enfrentado en mucho tiempo», dijo Will Dormann, analista senior de vulnerabilidad en el Centro de Coordinación CERT, una organización sin fines de lucro financiada por el gobierno estadounidense que investiga errores de software y trabaja con empresas y agencias gubernamentales. juntos para mejorar la seguridad. «Cada vez que hay un código de explotación público para una vulnerabilidad sin parche que podría comprometer un controlador de dominio de Windows, eso es una mala noticia».

Después de que se conoció la gravedad del error, Microsoft lanzó una solución fuera de banda el martes. Según Microsoft, la actualización «elimina por completo la vulnerabilidad de seguridad pública». Pero el miércoles, poco más de 12 horas después de su lanzamiento, un investigador mostró cómo los exploits pueden evitar el parche.

«Tratar con cadenas y nombres de archivos es difícil», dice Benjamin Delpy, desarrollador de la utilidad de piratería y redes Mimikatz y otro software. escribió en Twitter.

El tweet de Delpy acompañó a un video que muestra un exploit escrito apresuradamente que funciona contra un Windows Server 2019 que tenía instalado el parche fuera de banda. La demostración muestra que la actualización no corrige los sistemas vulnerables que usan ciertas configuraciones para una función llamada Apuntar e imprimir, lo que facilita que los usuarios de la red obtengan los controladores de impresora que necesitan.

En la parte inferior del aviso del martes de Microsoft dice: «Point and Print no está directamente relacionado con esta vulnerabilidad, pero la tecnología debilita la situación de seguridad local de tal manera que puede ser explotada».

El parche incompleto es el último error relacionado con la vulnerabilidad PrintNightmare. El mes pasado, el lote de parches mensual de Microsoft, CVE-2021-1675, corrigió un error en la cola de impresión que permitía a los piratas informáticos con derechos de sistema limitados en una computadora extender privilegios a los administradores. Microsoft le da crédito a Zhipeng Huo de Tencent Security, Piotr Madej de Afine y Yunhai Zhang de Nsfocus por descubrir y reportar el error.

Unas semanas más tarde, dos investigadores diferentes, Zhiniang Peng y Xuefeng Li de Sangfor, publicaron un análisis de CVE-2021-1675 que mostró que podría explotarse no solo para la escalada de privilegios sino también para la ejecución remota de código. Los investigadores llamaron a su exploit PrintNightmare.

Finalmente, los investigadores descubrieron que PrintNightmare estaba explotando una vulnerabilidad que era similar (pero en última instancia diferente) a CVE-2021-1675. Zhiniang Peng y Xuefeng Li eliminaron su exploit de prueba de concepto cuando se enteraron de la confusión, pero en ese momento su hazaña ya estaba generalizada. Actualmente hay al menos tres exploits de prueba de concepto disponibles públicamente, algunos de los cuales van mucho más allá de lo que permitía el exploit original.

La solución de Microsoft protege los servidores Windows configurados como controladores de dominio o dispositivos Windows 10 que usan la configuración predeterminada. La demostración de Delpy del miércoles muestra que PrintNightmare funciona con una gama mucho más amplia de sistemas, incluidos aquellos que tienen habilitada la función Point and Print y la opción NoWarningNoElevationOnInstall seleccionada. El investigador implementó el exploit en Mimikatz.

Además de intentar cerrar la vulnerabilidad de ejecución de código, la corrección del martes para CVE-2021-34527 también instala un nuevo mecanismo que permite a los administradores de Windows implementar restricciones más estrictas cuando los usuarios intentan instalar el software de la impresora.

«Antes de instalar las actualizaciones de Windows del 6 de julio de 2021 y posteriores que contienen protección para CVE-2021-34527, el grupo de seguridad del operador de la impresora pudo instalar controladores de impresora firmados y no firmados en un servidor de impresión», dice una recomendación de Microsoft. “Después de instalar dichas actualizaciones, los grupos de administradores delegados, como los operadores de impresoras, solo pueden instalar controladores de impresora firmados. Se requieren credenciales de administrador para instalar controladores de impresora sin firmar en un servidor de impresión «.

Aunque el parche fuera de banda del martes está incompleto, todavía proporciona una protección razonable contra muchos tipos de ataques que aprovechan la vulnerabilidad del spooler de impresión. Hasta el momento, no se conocen casos de investigadores que afirmen que pone en riesgo los sistemas. A menos que eso cambie, los usuarios de Windows deben instalar el parche a partir de junio y también a partir del martes y esperar más instrucciones de Microsoft. Los representantes de la empresa no hicieron comentarios de inmediato sobre esta publicación.

Esta historia apareció originalmente en Ars Technica.

Más historias geniales de WIRED