Windows print nightmare continúa con paquetes de controladores maliciosos

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Windows print nightmare continúa con otro ejemplo de cómo un actor de amenazas puede lograr privilegios de SYSTEM abusando de controladores de impresora maliciosos.

El mes pasado, los investigadores de seguridad revelaron accidentalmente un exploit de prueba de concepto para el día cero de Windows PrintNightmare.

Esta vulnerabilidad se rastrea como CVE-2021-34527 y es una verificación de permiso faltante en el Administrador de trabajos de impresión de Windows, que permite instalar controladores de impresión maliciosos para lograr la ejecución remota de código o la escalada local de privilegios en sistemas vulnerables.

Microsoft lanzó una actualización de seguridad KB5004945 fuera de banda que se suponía que arreglaba la vulnerabilidad, pero los investigadores de seguridad determinaron rápidamente que el parche podría omitirse bajo ciertas condiciones.

Sin embargo, Microsoft declaró que sus parches funcionaron según lo previsto y, dado que la vulnerabilidad se estaba explotando activamente, recomendó a todos los usuarios de Windows que instalaran la actualización.

La pesadilla continúa

Ayer, el investigador de seguridad y creador de Mimikatz, Benjamin Delpy, dijo que encontró una manera de abusar del método normal de Windows para instalar controladores de impresora para obtener privilegios del SYSTEM local a través de controladores de impresora maliciosos.

Esta técnica se puede utilizar incluso si los administradores aplicaron las mitigaciones recomendadas por Microsoft de restringir la instalación del controlador de impresora a los administradores y deshabilitar Point and Print.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Si bien este nuevo método de escalada de privilegios local no es el mismo que el que comúnmente se conoce como PrintNightmare, Delpy declaró que considera que los errores de instalación de controladores de impresora similares se clasifican con el mismo nombre.

Delpy explicó que incluso con las mitigaciones aplicadas, un actor de amenazas podría crear un paquete de controlador de impresión malicioso firmado y usarlo para lograr privilegios de SYSTEM en otros sistemas.

Para hacer esto, el actor de amenazas crearía un controlador de impresión malicioso y lo firmaría usando un certificado Authenticode confiable siguiendo estos pasos

Sin embargo, algunos actores de amenazas optan por el método "Rolls Royce" para firmar controladores, que consiste en comprar o robar un certificado EV y luego enviarlo para la validación de Microsoft WHQL como una empresa falsa.

Una vez que tienen un paquete de controlador de impresora firmado, un actor de amenazas puede instalar el controlador en cualquier otro dispositivo en red donde tenga privilegios administrativos.

Los actores de amenazas pueden usar este dispositivo "pivote" para obtener privilegios de SYSTEM en otros dispositivos donde no tienen privilegios elevados simplemente instalando el controlador malicioso, como se muestra en el video a continuación.



Delpy dijo que esta técnica podría usarse para ayudar a los actores de amenazas a propagarse lateralmente en una red ya comprometida.

Para evitar este ataque, puede deshabilitar la cola de impresión o habilitar la política de grupo Apuntar e imprimir para limitar los servidores que un dispositivo puede descargar controladores de impresión.

Sin embargo, habilitar Point and Print permitiría que las vulnerabilidades de PrintNightmare pasaran por alto el parche actual de Microsoft.

Cuando se le preguntó cómo Microsoft podría prevenir este tipo de ataque, Delpy declaró que intentaron prevenirlo en el pasado desaprobando los controladores de impresora de la versión 3. En última instancia, esto causó problemas y Microsoft puso fin a la política de obsolescencia de la versión 3 en junio de 2017.

Desafortunadamente, es probable que este método no se solucione, ya que Windows está diseñado para permitir que un administrador instale un controlador de impresora, incluso los que pueden ser maliciosos sin saberlo. Además, Windows está diseñado para permitir que los usuarios no administradores instalen controladores firmados en sus dispositivos para facilitar su uso.

En cambio, es probable que el software de seguridad sea la principal defensa contra ataques como este al detectar el controlador o el comportamiento malicioso.

Fuente:
Bleeping Computer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta