Un parche de emergencia que Microsoft lanzó el martes no soluciona por completo una vulnerabilidad de seguridad crítica en todas las versiones compatibles de Windows que permite a los atacantes tomar el control de los sistemas infectados y ejecutar el código de su elección, dijeron los investigadores.
La amenaza, conocida coloquialmente como PrintNightmare, proviene de errores en Windows Print Spooler, que brinda funcionalidad de impresión dentro de las redes locales. El código de explotación de prueba de concepto se hizo público y luego se eliminó, pero no antes de que otros lo copiaran. Los investigadores rastrean la vulnerabilidad como CVE-2021-34527.
Los atacantes pueden explotarlo de forma remota cuando las capacidades de impresión están expuestas a Internet. Los atacantes también pueden usarlo para elevar los privilegios del sistema una vez que hayan usado una vulnerabilidad diferente para establecerse dentro de una red vulnerable. De cualquier manera, los adversarios pueden tomar el control del controlador de dominio que, como servidor que autentica a los usuarios locales, es uno de los activos más sensibles a la seguridad en cualquier red de Windows.
«Este es el caso más grande con el que me he enfrentado en mucho tiempo», dijo Will Dormann, analista senior de vulnerabilidades en el Centro de Coordinación CERT, una organización estadounidense sin fines de lucro financiada con fondos federales que busca errores de software y trabaja con empresas y gobiernos. para mejorar la seguridad. «Cada vez que hay un código de explotación público para una vulnerabilidad sin parchear que puede comprometer un controlador de dominio de Windows, son malas noticias».
Después de que se reveló la gravedad del error, Microsoft lanzó una solución fuera de banda el martes. Microsoft dijo que la actualización «arregla completamente la vulnerabilidad pública». Pero el miércoles, poco más de 12 horas después del lanzamiento, un investigador mostró cómo las vulnerabilidades podrían eludir el parche.
«Manejar cadenas y nombres de archivos es difícil», dijo Benjamin Delpy, desarrollador de la utilidad de redes y hacking Mimikatz y otro software. escribió en Twitter.
El tweet de Delpy estuvo acompañado de un video que mostraba un exploit escrito apresuradamente que funcionaba contra un servidor de Windows 2019 que había instalado el parche fuera de banda. La demostración muestra que la actualización no soluciona los sistemas vulnerables que usan ciertas configuraciones para una función llamada Point and Print, lo que facilita que los usuarios de la red obtengan los controladores de impresora que necesitan.
Enterrado en la parte inferior del aviso de Microsoft del martes está lo siguiente: «Point and Print no está directamente relacionado con esta vulnerabilidad, pero la tecnología debilita la postura de seguridad local de tal manera que la explotación será posible».
El parche incompleto es el último error relacionado con la vulnerabilidad PrintNightmare. El mes pasado, el paquete de parches mensuales de Microsoft corrigió CVE-2021-1675, un error en la cola de impresión que permitía a los piratas informáticos con derechos de sistema limitados en una máquina elevar los privilegios a administrador. Microsoft le dio crédito a Zhipeng Huo de Tencent Security, Piotr Madej de Affine y Yunhai Zhang de Nsfocus por descubrir y reportar la falla.
Unas semanas más tarde, dos investigadores diferentes, Zhiniang Peng y Xuefeng Li de Sangfor, publicaron un análisis de CVE-2021-1675 que mostró que podría explotarse no solo para la escalada de privilegios, sino también para la ejecución remota de código. Los investigadores llamaron a su hazaña PrintNightmare.
Eventualmente, los investigadores determinaron que PrintNightmare explotó una vulnerabilidad similar (pero en última instancia diferente) a CVE-2021-1675. Zhiniang Peng y Xuefeng Li eliminaron su exploit de prueba de concepto cuando se enteraron de la confusión, pero para entonces su exploit ya estaba circulando ampliamente. Actualmente hay al menos tres explotaciones de prueba de concepto disponibles públicamente, algunas con capacidades que van mucho más allá de lo que permitía la explotación inicial.
El parche de Microsoft protege los servidores de Windows que están configurados como controladores de dominio o dispositivos con Windows 10 que utilizan la configuración predeterminada. La demostración del miércoles de Delpy muestra que PrintNightmare funciona en una gama mucho más amplia de sistemas, incluidos aquellos que tienen habilitado Point and Print y la opción NoWarningNoElevationOnInstall seleccionada. El investigador implementó el exploit en Mimikatz.