PrintNightmare zero-days de Windows obtiene un parche no oficial gratuito

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Se ha lanzado un parche no oficial gratuito para proteger a los usuarios de Windows de todas las nuevas vulnerabilidades de día cero de PrintNightmare descubiertas desde junio.

Los detalles técnicos y un exploit de prueba de concepto (PoC) para una nueva vulnerabilidad de cola de impresión de Windows llamada 'PrintNightmare' (CVE-2021-34527) se revelaron accidentalmente en junio.

Esta vulnerabilidad permite la ejecución remota de código y la escalada local de privilegios mediante la instalación de controladores de impresora maliciosos.

Si bien Microsoft lanzó una actualización de seguridad para la parte de ejecución remota de código, los investigadores rápidamente pasaron por alto el componente de elevación de privilegios local. Desde entonces, el investigador de seguridad y creador de Mimikatz, Benjamin Delpy, ha estado ideando más vulnerabilidades dirigidas a la cola de impresión que permanecen sin parches.

Estas son vulnerabilidades críticas, ya que permiten que cualquier persona obtenga privilegios de SYSTEM en un dispositivo local, incluso un controlador de dominio, simplemente conectándose a un servidor de impresión remoto con acceso a Internet e instalando un controlador de impresión malicioso.

Una vez que un actor de amenazas obtiene los privilegios de SYSTEM, se termina el juego para el sistema. Si esto se hace en un controlador de dominio, entonces el actor de amenazas ahora controla efectivamente el dominio de Windows.

Lanzamiento del microparche PrintNightmare gratis

Las mitigaciones para las vulnerabilidades PrintNightmare de día cero ya están disponibles a través de la política de grupo 'PackagePointAndPrintServerList'**, que le permite especificar una lista blanca de servidores de impresión aprobados que se pueden usar para instalar un controlador de impresión.

Habilitar esta política, junto con un nombre de servidor falso, bloqueará efectivamente las vulnerabilidades de Delpy ya que el servidor de impresión se bloqueará.

Sin embargo, para aquellos que quieran instalar un parche y no intentar entender los avisos y jugar con las políticas de grupo, Mitja Kolsek, cofundadora del servicio de microparches 0patch, ha lanzado un microparche gratuito* que se puede utilizar para corregir todas las vulnerabilidades conocidas de PrintNightmare.

"Por lo tanto, decidimos implementar la solución alternativa basada en políticas de grupo como un microparche, que bloquea la instalación del controlador de impresora Point and Print desde servidores que no son de confianza. Esta solución emplea la configuración de la directiva de grupo:" Usar solo el paquete Point and Print "primero requiere que todos los controladores de impresora estén en forma de un paquete firmado, mientras que "Punto de paquete e impresión - Servidores aprobados" limita el conjunto de servidores desde los cuales se permite instalar los paquetes de controladores de impresora ". Kolsek explica en una publicación de blog.

"Estas configuraciones se pueden configurar a través del registro. Nuestro parche modifica la función DoesPolicyAllowPrinterConnectionsToServer en win32spl.dll de modo que crea que los valores PackagePointAndPrintOnly y PackagePointAndPrintServerList existen y se establecen en 1, lo que habilita ambas políticas y mantiene vacía la lista de servidores aprobados".

Debe registrar una cuenta de 0patch y luego instalar un agente en su dispositivo Windows para instalar el parche. Una vez instalado, 0patch lo protegerá automáticamente de la vulnerabilidad PrintNightmare y otros errores sin parche.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

En una prueba, una vez instalado, si intenta instalar el controlador PrintNightmare malicioso de Delpy, aparecerá un mensaje que indica que una política ha bloqueado la conexión de la computadora a la cola de impresión, como se muestra a continuación.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Si bien 0patch es una herramienta esencial para bloquear vulnerabilidades sin parche, Delpy dice que, en este caso particular, habilitar las políticas de grupo que bloquean la explotación de todos los errores conocidos de PrintNightmare podría ser un mejor enfoque.

"Si empuja binarios a una computadora para empujar la configuración ... también puede empujar la configuración", declaró Delpy.

"Hacerlo evita alterar el proceso en la memoria, siempre un material peligroso que no gusta al producto de seguridad (y MS no es compatible ...)".

*
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
**
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta