Para finales de junio, los investigadores de seguridad debatían activamente sobre una vulnerabilidad en el servicio Administrador de trabajos de impresión, la cual apodaron PrintNightmare. Se supone que el parche, que se liberó en el martes de parches de junio, debería arreglar la vulnerabilidad, y lo hizo; sin embargo, el problema era de dos. El parche cerró CVE-2021-1675, pero no CVE-2021-34527. Los malhechores pueden utilizar las computadoras o servidores con Windows sin parchear para obtener el control, ya que el Administrador de trabajos de impresión se activa de manera predeterminada en todos los sistemas Windows.
Microsoft utiliza el nombre PrintNightmare para CVE-2021-34527, pero no para CVE-2021-1675; sin embargo, muchos otros lo utilizan para ambas vulnerabilidades.
Nuestros expertos estudiaron ambas vulnerabilidades a detalle y se aseguraron de que las soluciones de seguridad de Kaspersky, con su tecnología de prevención de exploits y protección basada en comportamiento, evita los intentos para explotarlas.
Cuál es el peligro de PrintNightmare
PrintNightmare se considera extremadamente peligrosa por dos motivos principales. El primero es que el Administrador de trabajos de impresión está habilitado de manera predeterminada en todos los sistemas con Windows, incluidos los controladores de dominio y las computadoras con privilegios de administrador del sistema, por lo que todos estos equipos son vulnerables.
El segundo es que un malentendido entre equipos de investigadores (y, tal vez, un simple error) llevaron a que un exploit de prueba de concepto para PrintNightmare se publicara en línea. Los investigadores involucrados estaban seguros de que el problema se había resulto con el parche de junio de Microsoft, así que compartieron su trabajo con la comunidad de expertos. Sin embargo, este exploit siguió siendo peligroso. El PoC rápidamente se eliminó, pero no antes de que muchos otros lo copiaran. Por este motivo, los expertos de Kaspersky predijeron un aumento en los intentos de explotar PrintNightmare.
Las vulnerabilidades y su explotación
CVE-2021-1675 es una vulnerabilidad de elevación de privilegio. Permite que un atacante con privilegios de acceso de bajo nivel cree y utilice un archivo malicioso DLL para ejecutar un exploit y obtener privilegios más elevados. Sin embargo, esto solo es posible si el atacante ya tiene acceso directo a la computadora vulnerable en cuestión. Microsoft considera que esta vulnerabilidad tiene un riesgo relativamente bajo.
CVE-2021-34527 es mucho más peligrosa: Si bien es similar, es una vulnerabilidad de ejecución de código remoto (RCE), lo que significa que permite la ejecución remota de archivos DLL. Microsoft ya ha visto exploits de esta vulnerabilidad en entornos no controlados, y Securelist proporciona una descripción técnica más detallada de ambas vulnerabilidades y sus técnicas de explotación.
Debido a que los malhechores pueden utilizar PrintNightmare para acceder a los datos en la infraestructura corporativa, también pueden utilizar el exploit para ataques de ransomware.
Cómo proteger tu infraestructura contra PrintNightmare
El primero paso para protegerte contra los ataques de PrintNightmare es instalar ambos parches, el de junio y el de julio , de Microsoft. Esta última página también proporciona soluciones alternativas de Microsoft en caso de que no puedas utilizar los parches; una de estas ni siquiera requiere que desactives el Administrador de trabajos de impresión.
Habiendo dicho esto, sugerimos encarecidamente que desactives el Administrador de trabajos de impresión de Windows en computadoras que no lo necesiten. En específico, es muy poco probable que los servidores del controlador de dominio necesiten poder imprimir.
Asimismo, todos los servidores y computadoras necesitan soluciones de seguridad de endpoints de confianza que evitan los intentos de explotación de vulnerabilidades conocidas y desconocidas, incluida PrintNightmare.