¿Debería preocuparme por PrintNightmare?

Los equipos de seguridad están evaluando el potencial de compromiso a través de una vulnerabilidad de ejecución remota de código (RCE) en Windows Print Spooler después de que se publicara en GitHub el código de prueba de concepto (PoC) para el error, que figura como CVE-2021-1675 y denominado PrintNightmare. a finales de junio por investigadores de Sangfor, con sede en China.

La publicación del código aparentemente fue algo accidental por parte de Sangfor. Según los informes, el equipo de Sangfor se apresuró a publicar el PoC después de que otra empresa publicara un archivo .gif que mostraba un exploit para CVE-2021-1675.

Boris Larin, investigador senior de seguridad en GReAT de Kaspersky, explicó la situación: “Los investigadores Zhiniang Peng y Xuefeng Li publicaron el exploit PrintNightmare en su cuenta de Twitter el martes, junto con un anuncio de su próxima presentación de Black Hat. Aparentemente, los investigadores hicieron esto por error, asumiendo que la vulnerabilidad utilizada en su exploit estaba parcheada como CVE-2021-1675, y que el parche se lanzó el 8 de junio.

“Esto resultó no ser el caso [as] el parche para CVE-2021-1675 solucionó otra vulnerabilidad, y el exploit PrintNightmare resultó ser un exploit de día cero sin parche de seguridad disponible ”, dijo Larin.

CVE-2021-1675 se reveló por primera vez en el lanzamiento del martes de parches de junio de Microsoft, pero inicialmente se pensó que era una vulnerabilidad de escalada de privilegios de impacto relativamente bajo que podría usarse para ejecutar código como administrador en un sistema de destino que ejecuta Windows Print Spooler.

Sin embargo, el 21 de junio, Microsoft la reclasificó como una vulnerabilidad RCE y la elevó de gravedad baja a crítica. Esto ha complicado una situación ya un tanto tensa, y además significa que la falta de un parche es más preocupante de lo que podría ser de otra manera.

Afortunadamente, John Hammond de Huntress, un proveedor de plataformas de seguridad con sede en EE. UU., Dijo que había otra opción para los defensores: “Una solución temporal y de curita es desactivar el servicio de cola de impresión”.

Hammond agregó que siempre que deshabilitar Print Spooler sea apropiado (puede tener efectos secundarios no deseados en algunas situaciones), afortunadamente es un trabajo bastante fácil y se puede hacer en una sola máquina con algunos comandos de PowerShell. Otros detalles están disponibles aquí.

Print Spooler es un servicio nativo de Windows integrado que está habilitado de forma predeterminada en las máquinas con Windows para administrar impresoras y servidores de impresión y, por lo tanto, prevalece en todas las áreas de TI de la empresa.

Con frecuencia se han encontrado vulnerabilidades en él a lo largo de los años y pueden ser muy efectivas; de hecho, una vulnerabilidad de Print Spooler abrió la puerta al infame incidente de Stuxnet.

Jan Vojtěšek, un investigador de malware en Avast, dijo: “Esta vulnerabilidad podría permitir que un atacante remoto se apodere de una máquina con Windows. También podría ser utilizado por un atacante para obtener más privilegios en una máquina a la que ya tiene un acceso limitado.

“Lo que hace que esta vulnerabilidad sea extremadamente peligrosa es la combinación de los hechos de que no está parcheada a partir de ahora y que existe un exploit público de PoC. Cualquier atacante ahora puede intentar aprovechar esta vulnerabilidad para permitirle realizar algunas acciones maliciosas. Esto ejerce mucha presión sobre Microsoft, que ahora debería lanzar el parche lo antes posible para evitar que los atacantes aprovechen esta vulnerabilidad ”, dijo Vojtěšek.

Larin de Kaspersky agregó: “La vulnerabilidad es indudablemente seria porque le permite elevar privilegios en la computadora local u obtener acceso a otras computadoras dentro de la red de la organización. Al mismo tiempo, esta vulnerabilidad es generalmente menos peligrosa que, digamos, las vulnerabilidades de día cero recientes en Microsoft Exchange, principalmente porque para explotar PrintNightmare, los atacantes ya deben estar en la red corporativa “.

Esto, afortunadamente para los defensores, significa que probablemente es poco probable que PrintNightmare se convierta en un vector de ciberataques generalizados. Sin embargo, además de deshabilitar Print Spooler hasta que se confirme la disponibilidad de un parche, los equipos de seguridad harían bien en reforzar sus defensas generales, prestar atención a la conciencia de los empleados, verificar que exista una buena higiene en torno a las credenciales y asegurarse de que los datos retenidos por la organización está bien protegida.

Nuestro objetivo fué el mismo desde 2004, unir personas y ayudarlas en sus acciones online, siempre gratis, eficiente y sobre todo fácil!

¿Donde estamos?

Mendoza, Argentina

Nuestras Redes Sociales