Un parche de emergencia que Microsoft emitió el martes no soluciona por completo una vulnerabilidad de seguridad crítica en todas las versiones compatibles de Windows que permite a los atacantes tomar el control de los sistemas infectados y ejecutar el código de su elección, dijeron los investigadores.
La amenaza, conocida coloquialmente como PrintNightmare, proviene de errores en la cola de impresión de Windows, que proporciona funcionalidad de impresión dentro de las redes locales. El código de explotación de prueba de concepto se lanzó públicamente y luego se retiró, pero no antes de que otros lo hubieran copiado. Los investigadores rastrean la vulnerabilidad como CVE-2021-34527.
Un gran problema
Los atacantes pueden explotarlo de forma remota cuando las capacidades de impresión están expuestas a Internet. Los atacantes también pueden usarlo para escalar los privilegios del sistema una vez que hayan usado una vulnerabilidad diferente para obtener un control dentro de una red vulnerable. En cualquier caso, los adversarios pueden obtener el control del controlador de dominio, que como servidor que autentica a los usuarios locales, es uno de los activos más sensibles a la seguridad en cualquier red de Windows.
“Es el mayor negocio con el que me he enfrentado en mucho tiempo”, dijo Will Dormann, analista senior de vulnerabilidades en el Centro de Coordinación CERT, un proyecto sin fines de lucro financiado con fondos federales de los Estados Unidos que investiga errores de software y trabaja con empresas y gobiernos para mejorar seguridad. “Cada vez que hay un código de explotación público para una vulnerabilidad sin parche que puede comprometer un controlador de dominio de Windows, eso es una mala noticia”.
Una vez que salió a la luz la gravedad del error, Microsoft publicó un fuera de banda arreglar el martes. Microsoft dijo que la actualización “aborda completamente la vulnerabilidad pública”. Pero el miércoles, un poco más de 12 horas después del lanzamiento, un investigador mostró cómo los exploits podían eludir el parche.
“Tratar con cadenas y nombres de archivos es difícil”, Benjamin Delpy, desarrollador de la herramienta de piratería y redes Mimikatz y otro software, escribió en Twitter.
Acompañando al tweet de Delpy había un video que mostraba un exploit escrito apresuradamente que funcionaba contra un Windows Server 2019 que había instalado el parche fuera de banda. La demostración muestra que la actualización no soluciona los sistemas vulnerables que usan ciertas configuraciones para una función llamada apuntar e imprimir, lo que facilita a los usuarios de la red la obtención de los controladores de impresora que necesitan.
Enterrado cerca del final del aviso de Microsoft del martes está lo siguiente: “Point and Print no está directamente relacionado con esta vulnerabilidad, pero la tecnología debilita la postura de seguridad local de tal manera que la explotación será posible”.
Una tragedia de errores
El parche incompleto es el último error relacionado con la vulnerabilidad PrintNightmare. El mes pasado, se corrigió el lote de parches mensuales de Microsoft CVE-2021-1675, un error de la cola de impresión que permitía a los piratas informáticos con derechos de sistema limitados en una máquina escalar los privilegios al administrador. Microsoft atribuyó a Zhipeng Huo de Tencent Security, Piotr Madej de Afine y Yunhai Zhang de Nsfocus el descubrimiento y la denuncia de la falla.
Unas semanas más tarde, dos investigadores diferentes, Zhiniang Peng y Xuefeng Li de Sangfor, publicaron un análisis de CVE-2021-1675 que mostró que podría ser explotado no solo para escalar privilegios, sino también para lograr la ejecución remota de código. Los investigadores llamaron a su exploit PrintNightmare.
Finalmente, los investigadores determinaron que PrintNightmare explotó una vulnerabilidad que era similar (pero en última instancia diferente) a CVE-2021-1675. Zhiniang Peng y Xuefeng Li eliminaron su exploit de prueba de concepto cuando se enteraron de la confusión, pero para entonces, su hazaña ya estaba circulando ampliamente. Actualmente hay al menos tres exploits de PoC disponibles públicamente, algunos con capacidades que van mucho más allá de lo que permitía el exploit inicial.
La solución de Microsoft protege los servidores de Windows que están configurados como controladores de dominio o dispositivos de Windows 10 que usan la configuración predeterminada. La demostración del miércoles de Delpy muestra que PrintNightmare funciona con una gama mucho más amplia de sistemas, incluidos aquellos que han habilitado Point and Print y han seleccionado la opción NoWarningNoElevationOnInstall. El investigador implementó el exploit en Mimikatz.
“Se requerirán credenciales”
Además de intentar cerrar la vulnerabilidad de ejecución de código, la corrección del martes para CVE-2021-34527 también instala un nuevo mecanismo que permite a los administradores de Windows implementar restricciones más estrictas cuando los usuarios intentan instalar software de impresora.
“Antes de instalar las actualizaciones de Windows del 6 de julio de 2021 y las más recientes que contienen protecciones para CVE-2021-34527, el grupo de seguridad de los operadores de impresoras podía instalar controladores de impresora firmados y no firmados en un servidor de impresora”, un Aviso de Microsoft fijado. “Después de instalar dichas actualizaciones, los grupos de administradores delegados, como los operadores de impresoras, solo pueden instalar controladores de impresora firmados. Se necesitarán credenciales de administrador para instalar controladores de impresora sin firmar en un servidor de impresora en el futuro “.
A pesar de que el parche fuera de banda del martes está incompleto, aún brinda una protección significativa contra muchos tipos de ataques que aprovechan la vulnerabilidad del spooler de impresión. Hasta el momento, no se conocen casos de investigadores que afirmen que pone en riesgo los sistemas. A menos que eso cambie, los usuarios de Windows deben instalar el parche a partir de junio y el martes y esperar más instrucciones de Microsoft. Los representantes de la empresa no hicieron comentarios de inmediato para esta publicación.