#PrintNightmare. Vulnerabilidad sin parche que afecta a Windows

Iniciado por AXCESS, Julio 05, 2021, 06:17:43 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Julio 05, 2021, 06:17:43 PM Ultima modificación: Julio 05, 2021, 09:04:18 PM por AXCESS
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El 1 de Julio Microsoft acuñaba el CVE-2021-34527, "Windows Print Spooler Remote Code Execution Vulnerability", una vulnerabilidad que, como su propio nombre indica, afecta al servicio de cola de impresión de Windows.

La vulnerabilidad, para la que aún no existe parche, permitiría la ejecución de código remoto en los sistemas con dicho servicio, incluso desde las cuentas de usuarios que sólo tienen permisos básicos. Una vez explotada, el atacante podría ejecutar código arbitrario con privilegios SYSTEM.

Es la segunda vulnerabilidad que afecta a este servicio en menos de dos meses.

El 8 de Junio Microsoft registraría la vulnerabilidad CVE-2021-1675, "Windows Print Spooler Elevation of Privilege Vulnerability", posteriormente actualizada el 21 de Junio Microsoft. La actualización consistió en cambiar su nivel de criticidad de bajo a alto, e indicar la posibilidad de ejecución remota de código (por lo que en la documentación de Microsoft vemos el nuevo nombre). Sin embargo, pese a sus aparentes similitudes, son vulnerabilidades distintas. De hecho, si consultamos las entradas de Microsoft para sendas vulnerabilidades, puede verse cómo CVE-2021-1675 cuenta con solución oficial, mientras que CVE-2021-34527 tan sólo se encuentra parcialmente resuelta.

La prueba de concepto que ha dado pie a la definición de este nuevo CVE se dio a conocer como PrintNightmare, y de ahí que toda esta historia se pueda seguir a través de dicho nombre.

La entrada de INCIBE que informa sobre esta vulnerabilidad se ha actualizado (2 de Julio) para aportar información sobre las acciones para mitigar el efecto de la vulnerabilidad.

Otro artículo de interés en el que se ofrecen recomendaciones es el publicado desde Splunk:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Las recomendaciones pasan sobre todo por comprobar qué servidores tienen el servicio afectado habilitado o activo, y deshabilitar la funcionalidad que permite actuar como servidor de impresión.

Desde BreachQuest:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

recomiendan habilitar el registro de eventos de impresión, que se encuentra deshabilitado por defecto (Print Service-Operational). Además, algunos investigadores han arrojado luz sobre la operativa que permitiría la explotación de la vulnerabilidad.

Cabe destacar que, aún con los parches del 21 de Junio, el 'exploit' podría afectar a los controladores de dominio. Es este el escenario que a día de hoy más preocupación causa, ya que permitiría el escalado de privilegios en entornos ActiveDirectory. Se recomienda realizar las comprobaciones oportunas para identificar aquellos equipos vulnerables, prestar especial atención a las actualizaciones sobre esta vulnerabilidad y parchear lo antes posible.

Su criticidad (posibilidad de ejecutar código como SYSTEM) y la aparición de exploits funcionales hacen vital tomar las contramedidas urgentemente que, básicamente, consisten en deshabilitar el servicio de impresión. Aunque por el momento son workarounds hasta la aparición del parche oficial, evitarán que inexorablemente cualquier usuario malintencionado o atacante se convierta en administrador de dominio fácilmente.

En este post, HackPlayers:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

recoge de manera bastante esquemática distintos aspectos de esta nueva y auténtica pesadilla para Windows.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Exploits

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta (implementaciones en C# y Python)

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Mitigaciones

Para mitigar la vulnerabilidad, se debe seguir uno de los dos procedimientos siguientes:

Opción 1: deshabilitar el servicio de cola de impresión (Print Spooler service)

Si deshabilitar el servicio de cola de impresión es apropiado para su empresa, use los siguientes comandos de PowerShell:

Stop-Service -Name Spooler -Force

Set-Service -Name Spooler -StartupType Disabled

Opción 2: deshabilitar la impresión remota entrante a través de la directiva de grupo

También puede configurar los ajustes a través de la Política de grupo de la siguiente manera:

Computer Configuration / Administrative Templates / Printers

Deshabilite la política "Permitir que la cola de impresión acepte conexiones de cliente:">>> ("Allow Print Spooler to accept client connections:") para bloquear ataques remotos.

CISA también aconseja deshabilitar el servicio Print Spooler

En noticias relacionadas, CISA (CiberSecurity & Infrastructure Security Agency of United States Government) también ha emitido una notificación sobre el día cero de PrintNightmare animando a los administradores a deshabilitar el servicio Windows Print Spooler en servidores que no se utilizan para imprimir.

De acuerdo con las recomendaciones anteriores de Microsoft sobre cómo mitigar los riesgos en los controladores de dominio con el servicio de cola de impresión en ejecución, el servicio debe desactivarse en todos los controladores de dominio y los sistemas de administración de Active Directory a través de un objeto de política de grupo debido a la mayor exposición a los ataques.

Dado que este servicio está habilitado de forma predeterminada en la mayoría de los clientes y plataformas de servidor de Windows, el riesgo de futuros ataques dirigidos activamente a sistemas vulnerables es significativo.

Fuentes:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Vía compendio al español:
Hacking Land
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta