Tecnología

Microsoft corrige las vulnerabilidades restantes de Windows PrintNightmare

Cola de impresión de Windows

Microsoft ha lanzado una actualización de seguridad para corregir las últimas vulnerabilidades de día cero de PrintNightmare que permitieron a los atacantes obtener privilegios administrativos en dispositivos Windows rápidamente.

En junio, se reveló accidentalmente una vulnerabilidad de cola de impresión de Windows de día cero denominada PrintNightmare (CVE-2021-34527). Esta vulnerabilidad explota Windows Apuntar e imprimir característica para realizar la ejecución remota de código y obtener privilegios de SISTEMA local.

Mientras que Microsoft dos actualizaciones de seguridad para corregir varias vulnerabilidades de Print Nightmare, otra vulnerabilidad divulgada públicamente por el investigador de seguridad Benjamín Delpy Aún así, los actores de amenazas pueden obtener rápidamente privilegios de SISTEMA simplemente conectándose a un servidor de impresión remoto.

Como se demuestra a continuación, la vulnerabilidad de Delpy abusó de la Directiva CopyFiles para copiar y ejecutar archivos DLL maliciosos usando privilegios del SISTEMA cuando un usuario instaló una impresora remota. Una vez que el exploit lanzó la DLL, se abriría una ventana de consola donde todos los comandos se ejecutan con privilegios de SISTEMA.

Para empeorar las cosas, las bandas de ransomware, como Vice Society, Magniber y Conti, comenzó a utilizar el error para obtener privilegios elevados en dispositivos comprometidos.

Esta vulnerabilidad PrintNightmare restante se rastrea como CVE-2021-36958 y se atribuye a Víctor Mata de FusionX, Accenture Security, quien reveló en privado el error a Microsoft en diciembre de 2020.

Nueva actualización de seguridad corrige el error PrintNightmare

En las actualizaciones de seguridad del martes de parches de septiembre de 2021 de hoy, Microsoft ha lanzado una nueva actualización de seguridad para CVE-2021-36958 que corrige la vulnerabilidad restante de Print Nightmare.

Delpy, quien probó su exploit contra la nueva actualización de seguridad, confirmó a Bleeping Computer que el error ya está solucionado.

Además de corregir la vulnerabilidad, Delpy le dijo a BleepingComputer que Microsoft ha deshabilitado la función CopyFiles de forma predeterminada y agregó una política de grupo no documentada que permite a los administradores habilitarla nuevamente.

Esta política se puede configurar en el Registro de Windows en HKLM Software Políticas Microsoft Windows NT Impresoras clave y agregando un valor llamado CopyFilesPolicy. Cuando se establece en ‘1’, CopyFiles se habilitará nuevamente.

Sin embargo, incluso cuando estaba habilitado, Delpy le dijo a Bleeping Computer que solo permitiría C: Windows System32 mscms.dll archivo que se utilizará con esta función.

Comprobación del registro de Windows en busca de CopyFilesPolicy
Comprobación del registro de Windows en busca de CopyFilesPolicy
Fuente: Benjamin Delpy

Como este cambio afectará el comportamiento predeterminado de Windows, no está claro qué problemas causará al imprimir en Windows.

Microsoft no ha publicado ninguna información sobre esta nueva política de grupo en este momento y no está disponible en el Editor de políticas de grupo.

Además de la vulnerabilidad PrintNightmare, las actualizaciones de hoy también corrigen una vulnerabilidad de día cero de Windows MSHTML explotada activamente.

Como se sabe que los actores de amenazas abusan de estas dos vulnerabilidades en los ataques, es fundamental instalar las actualizaciones de seguridad del martes de parches de hoy lo antes posible.

Leave a Comment

You may also like

Más