Microsoft lanzó un raro parche fuera de banda el 7 de julio para corregir la llamada vulnerabilidad PrintNightmare, pero parece no haber abordado algunos aspectos fundamentales del error de Windows Print Spooler, lo que significa que incluso los sistemas completamente parcheados pueden estar aún en riesgo. según los investigadores.
El trasfondo de la saga algo confusa es el siguiente: Microsoft había parcheado por primera vez CVE-2021-1675, como una vulnerabilidad de escalada de privilegios locales de prioridad relativamente baja en la caída del martes de parches de junio, pero saltó a la fama la semana pasada cuando dos investigadores chinos, preocupados por eso Los rivales estaban dando el salto en su investigación, lanzaron un exploit de prueba de concepto (PoC) para lo que creían que era CVE-2021-1675. No era; de hecho, los investigadores habían expuesto un RCE de día cero mucho más peligroso, CVE-2021-34527, para el que no había ningún parche disponible.
Casi inmediatamente después de que se eliminó el parche, los profesionales de seguridad dijeron que habían descubierto que, si bien el parche abordaba el componente RCE de PrintNightmare bastante bien, no cubría a los usuarios contra LPE en algunas situaciones específicas, lo que significa que un atacante que ya está en la red aún podría causar estragos si ellos querían. En efecto, el parche parece estar incompleto.
John Hammond de Huntress dijo que hasta la fecha, la firma no había visto un escenario de parche que abarcara la prevención de LPE, la prevención de RCE y, lo que es más importante para los usuarios, les permitiera imprimir con normalidad.
Además, el parche aún no se aplica a varios sistemas de Microsoft, a saber, Windows 10 versión 1607, Windows Server 2012 y Windows Server 2016. Microsoft dijo que esta fue una elección intencional.
En una publicación de blog, Redmond dijo: “Algunos paquetes no están listos para su lanzamiento. Creemos que es importante proporcionar actualizaciones de seguridad lo más rápido posible para los sistemas que podemos proteger con confianza hoy “.
Independientemente de la efectividad del parche, es mejor que los usuarios lo descarguen y lo apliquen, aunque esto puede ser algo perturbador para los horarios del equipo de seguridad alrededor del lanzamiento del martes del parche de julio, que sucederá el 13 de julio.
El ingeniero de investigación del personal de Tenable, Satnam Narang, dijo que PrintNightmare merecía atención inmediata debido a la ubicuidad de Windows Print Spooler, y los posibles atacantes podrían aprovechar la falla para hacerse cargo de un controlador de dominio.
“Si bien no sabemos con certeza por qué Microsoft eligió publicar esto como un parche fuera de banda, sospechamos que la disponibilidad de una serie de scripts de exploits de prueba de concepto junto con informes de explotación in-the-wild contribuyeron a esta decisión ”, dijo. “Esperamos que solo sea cuestión de tiempo antes de que se incorpore de manera más amplia en los kits de herramientas de los atacantes.
“PrintNightmare seguirá siendo un exploit valioso para los ciberdelincuentes siempre que existan sistemas sin parches y, como sabemos, las vulnerabilidades sin parches tienen una larga vida útil para los atacantes.
“Ahora que Microsoft ha lanzado parches, se recomienda encarecidamente a las organizaciones que apliquen los parches lo antes posible, especialmente porque los atacantes incorporan scripts de explotación de PoC disponibles en sus kits de herramientas”, dijo Narang a Computer Weekly en comentarios enviados por correo electrónico.
Tim Mackey, estratega principal de seguridad del Synopsys CyRC (Centro de Investigación de Seguridad Cibernética), estuvo de acuerdo: “Siempre que haya una nueva divulgación de seguridad, se debe asumir que se conoce el conocimiento de cómo explotar las debilidades de la divulgación.
“También debe entenderse que una vez que la información se publique en línea, será clonada o copiada por otra persona. Las PoC de problemas de seguridad explotables se publican comúnmente después de que la divulgación de seguridad y los parches asociados se hacen públicos.
“La publicación es un proceso normal porque esos detalles podrían permitir que otros investigadores de seguridad identifiquen otras rutas de explotación que también podrían necesitar parches. Para los usuarios, lo mejor que pueden hacer para evitar ser víctimas es parchear sus sistemas Windows de inmediato ”, dijo.