imágenes falsas
Microsoft tuvo otro inconveniente en sus esfuerzos por bloquear la cola de impresión de Windows, ya que el fabricante de software advirtió a los clientes el jueves que deshabilitaran el servicio para contener una nueva vulnerabilidad que ayuda a los atacantes a ejecutar código malicioso en máquinas completamente parcheadas.
La vulnerabilidad es la tercera falla relacionada con la impresora en Windows que ha salido a la luz en las últimas cinco semanas. Un parche de Microsoft lanzado en junio por una falla de ejecución remota de código, no pudo corregir una falla similar pero distinta denominada PrintNightmare, que también hizo posible que los atacantes ejecutaran código malicioso en máquinas completamente parcheadas. Microsoft lanzó un parche no programado
Traiga su propio controlador de impresora
El jueves, Microsoft advirtió sobre un nueva vulnerabilidad en la cola de impresión de Windows. La falla de escalada de privilegios, registrada como CVE-2021-34481, permite a los piratas informáticos que ya tienen la capacidad de ejecutar código malicioso con derechos de sistema limitados elevar esos derechos. La elevación permite que el código acceda a partes sensibles de Windows para que el malware pueda ejecutarse cada vez que se reinicia una máquina.
“Existe una vulnerabilidad de elevación de privilegios cuando el servicio Windows Print Spooler realiza incorrectamente operaciones de archivos privilegiados”, escribió Microsoft en el aviso del jueves. “Un atacante que aproveche con éxito esta vulnerabilidad podría ejecutar código arbitrario con privilegios de SISTEMA. Entonces, un atacante podría instalar programas; ver, cambiar o eliminar datos; o crear nuevas cuentas con todos los derechos de usuario “.
Microsoft dijo que el atacante primero debe tener la capacidad de ejecutar código en el sistema de la víctima. El aviso califica las vulnerabilidades en la naturaleza como “más probables”. Microsoft continúa aconsejando a los clientes que instalen las actualizaciones de seguridad emitidas anteriormente. Una cola de impresión es un software que gestiona el envío de trabajos a la impresora almacenando temporalmente datos en un búfer y procesando los trabajos de forma secuencial o por prioridad de trabajo.
“La solución para esta vulnerabilidad es detener y deshabilitar el servicio Print Spooler”, dijo el aviso del jueves. Proporciona varios métodos que los clientes pueden utilizar para hacerlo.
La vulnerabilidad fue descubierta por Jacob Baines, un investigador de vulnerabilidades de la firma de seguridad Dragos, que está programado para dar una charla titulada “Traiga su propia vulnerabilidad del controlador de impresión“en la convención de hackers de Defcon del próximo mes El resumen ejecutivo de la presentación es:
¿Qué puede hacer, como atacante, cuando se encuentra como un usuario de Windows con pocos privilegios y sin ruta al SISTEMA? ¡Instale un controlador de impresión vulnerable! En esta charla, aprenderá cómo introducir controladores de impresión vulnerables en un sistema completamente parcheado. Luego, con tres ejemplos, aprenderá a usar los controladores vulnerables para escalar a SYSTEM “.
En un correo electrónico, Baines dijo que informó de la vulnerabilidad a Microsoft en junio y que no sabía por qué Microsoft publicó el aviso ahora.
“Me sorprendió el aviso porque fue muy abrupto y no estaba relacionado con el plazo que les di (el 7 de agosto), ni fue lanzado con parche”, escribió. “Una de esas dos cosas (la divulgación pública del investigador o la disponibilidad de un parche) generalmente genera un aviso público. No estoy seguro de qué los motivó a publicar el aviso sin un parche. Eso suele ir en contra del objetivo de un programa de divulgación. Pero por mi parte, no he revelado públicamente los detalles de la vulnerabilidad y no lo haré hasta el 7 de agosto. Quizás hayan visto los detalles publicados en otro lugar, pero yo no “.
Microsoft dijo que está trabajando en un parche, pero no proporcionó un cronograma para su lanzamiento.
Baines, quien dijo que realizó la investigación fuera de sus responsabilidades en Dragos, describió la gravedad de la vulnerabilidad como “media”.
“Tiene una puntuación CVSSv3 de 7,8 (o alta), pero al final del día, es sólo una escalada de privilegios locales”, explicó. “En mi opinión, la vulnerabilidad en sí misma tiene algunas propiedades interesantes que la hacen digna de una charla, pero todo el tiempo se encuentran nuevos problemas de escalada de privilegios locales en Windows”.