Tecnología

El exploit público PrintNightmare 0-day de Windows permite la toma de dominio

La vulnerabilidad de día cero de PrintNightware permite la toma de control del dominio

Los detalles técnicos y un exploit de prueba de concepto (PoC) se filtraron accidentalmente para una vulnerabilidad actualmente sin parchear en Windows que permite la ejecución remota de código.

A pesar de la necesidad de autenticación, la gravedad del problema es fundamental, ya que los actores de amenazas pueden usarlo para hacerse cargo de un servidor de dominio de Windows para implementar fácilmente malware en la red de una empresa.

El problema afecta a Windows Print Spooler y debido a la larga lista de errores que afectan a este componente a lo largo de los años. [1, 2, 3, 4], los investigadores lo llamaron Print Nightmare.

Varios investigadores han probado el exploit PoC filtrado en sistemas Windows Server 2019 completamente parcheados y pudieron ejecutar código como SYSTEM.

Una fuga accidental

La filtración de los detalles de esta vulnerabilidad ocurrió por accidente, debido a una confusión con otro problema, CVE-2021-1675, que también afectó a Print Spooler que Microsoft parcheó en el lanzamiento de actualizaciones de seguridad de este mes.

Inicialmente, Microsoft clasificó CVE-2021-1675 como un problema de escalada de privilegios de alta gravedad, pero un par de semanas después cambió la calificación a crítica y el impacto en la ejecución remota del código, sin proporcionar ningún detalle.

Los investigadores de tres empresas de ciberseguridad (Tencent, AFINE, NSFOCUS), acreditados por informar CVE-2021-1675, estaban analizando Windows Print Spooler.

El 28 de junio, el proveedor de seguridad chino QiAnXin anunció que había encontrado una manera de explotar la vulnerabilidad para lograr tanto la escalada de privilegios locales como la ejecución remota de código, y publicó un video de demostración.

Al ver el video del exploit y creer que es el mismo problema, otro equipo de investigadores de la empresa de seguridad china Sangfor decidió publicar su descripción técnica y un exploit de demostración, llamando al error PrintNightmare.

Sin embargo, resulta que PrintNightmare no es lo mismo que CVE-2021-1675, que recibió un parche el 8 de junio, sino una vulnerabilidad de día cero en Windows Print Spooler que necesita una solución.

Mitja Kolsek, CEO de Acros Security y cofundador del servicio de microparches 0Patch aclara la confusión al señalar los detalles técnicos que los investigadores de AFINE publicaron para CVE-2021-1675, que son diferentes de lo que publicaron ayer los investigadores de Sangfor.

Dejando a un lado la confusión, Print Nightmare es un defecto grave que debe tratarse en consecuencia.

Dado que un parche aún está por llegar, se recomienda encarecidamente a los administradores que detengan y deshabiliten el servicio de cola de impresión, especialmente en los sistemas de controlador de dominio.

Matthew Hickey, cofundador de Casa de hackers, pudo obtener privilegios completos del SISTEMA de una cuenta de usuario de dominio normal en una máquina actualizada con Windows Server 2019 vulnerable a PrintNightmare.

Benjamin Delpy, el desarrollador de la herramienta de post-explotación mimikatz para pruebas de penetración, también logró la ejecución remota de código con los privilegios más altos en un sistema completamente parcheado.

Si bien su prueba también se realizó en un controlador de dominio, Delpy dijo que se logra el mismo resultado “en todos los sistemas con RPC a spooler disponible, remoto o local”.

Delpy hizo un video mostrando que su sistema de prueba, que ejecuta las últimas actualizaciones, no detuvo el exploit PrintNightmare:

Will Dormann, analista de vulnerabilidades de CERT / CC confirmado que un atacante remoto y autenticado puede ejecutar código con derechos elevados en una máquina con el servicio Print Spooler habilitado.

Dormann también confirmó que las actualizaciones de seguridad de junio de Microsoft no tienen ningún efecto contra la vulnerabilidad de día cero PrintNightmare detallada por los investigadores de Sangfor.

El consejo general en este momento es detener y deshabilitar el servicio en los controladores de dominio lo antes posible, ya que la necesidad de autenticación está lejos de ser un impedimento para un atacante.

Es probable que los actores de amenazas, en particular los grupos de ransomware, aprovechen la ocasión para comprometer las redes de la empresa, ya que obtener credenciales para usuarios de dominio con privilegios limitados es una tarea fácil, investigador de seguridad Jonas Lykkegård dijo a Bleeping Computer.

Las credenciales para usuarios habituales pueden ser igualmente buenas para un atacante en entornos vulnerables a la escalada de privilegios, y existe un mercado para este tipo de datos, sostenido por actividades de robo de información.

En algunos foros clandestinos, un par de nombre de usuario y contraseña válidos para un servidor de escritorio remoto de Windows puede costar tan solo $ 3 y tan alto como $ 70.

Uno de los mercados más grandes para inicios de sesión de escritorio remoto de Windows tenía una colección de 1.3 millones de credenciales, lo que demuestra que venderlas es un negocio lucrativo.

Leave a Comment

You may also like

Más