La vulnerabilidad de PrintDemon afecta a todas las versiones de Home windows


Impresora

Imagen vía CreaPark en Pixabay

Dos investigadores de seguridad han publicado hoy detalles sobre una vulnerabilidad en el servicio de impresión de Home windows que, según dicen, afecta todas las versiones de Windows que se remontan a Home windows NT 4, lanzadas en 1996.

La vulnerabilidad, que nombraron en código PrintDemon, Se encuentra en Cola de impresión de Windows, el componente principal de Windows responsable de administrar las operaciones de impresión.

El servicio puede enviar datos para imprimirlos a un puerto USB / paralelo para impresoras conectadas físicamente a un puerto TCP para impresoras que residen en una purple community o net o en un archivo area, en el raro caso de que el usuario quiera guardar un trabajo de impresión para más adelante.

Elevación de privilegios locales trivialmente explotable

En un informe publicado hoy, los investigadores de seguridad Alex Ionescu y Yarden Shafir dijeron que encontraron un error en este viejo componente que puede ser abusado para secuestrar el mecanismo interno de Printer Spooler.

El error no se puede usar para entrar en un cliente de Windows de forma remota a través de Web, por lo que no es algo que pueda explotarse para hackear sistemas de Home windows al azar a través de World-wide-web.

PrintDemon es lo que los investigadores llaman una vulnerabilidad de «escalada de privilegios locales» (LPE). Esto significa que una vez que un atacante tiene el punto de apoyo más pequeño dentro de una aplicación o una máquina Home windows, incluso con privilegios de modo de usuario, el atacante puede ejecutar algo tan easy como un comando PowerShell sin privilegios para obtener privilegios de nivel de administrador en todo el sistema operativo.

Esto es posible debido a cómo se diseñó el servicio de cola de impresión para funcionar, dijeron Ionescu y Shafir.

Debido a que este es un servicio destinado a estar disponible para cualquier aplicación que quiera imprimir un archivo, está disponible para todas las aplicaciones que se ejecutan en un sistema, sin restricciones. El atacante puede crear un trabajo de impresión que se imprime en un archivo, por ejemplo, un archivo DLL area utilizado por el sistema operativo u otra aplicación.

El atacante puede iniciar la operación de impresión, bloquear el servicio de cola de impresión intencionalmente y luego dejar que el trabajo se reanude, pero esta vez la operación de impresión se ejecuta con privilegios de Process, lo que le permite sobrescribir cualquier archivo en cualquier lugar del sistema operativo.

En un tweet de hoy, Ionescu dijo que la explotación en las versiones actuales del sistema operativo requiere una sola línea de PowerShell. En versiones anteriores de Windows, esto podría necesitar algunos ajustes.

«En un sistema sin parches, esto instalará una puerta trasera persistente, que no desaparecerá * incluso después de parchear», dijo Ionescu.

Parches disponibles

La buena noticia es que esto ya ha sido reparado, de ahí la divulgación pública de Ionescu y Shafir. Ayer se lanzaron correcciones para PrintDemon, con el parche Microsoft mayo 2020 el martes.

PrintDemon se rastrea bajo el CVE-2020-1048 identificador Dos investigadores de seguridad de SafeBreach Labs también informaron de manera independiente el mismo problema.

Ionescu también tiene código de prueba de concepto publicado en GitHub con el propósito de ayudar a los investigadores de seguridad y administradores de sistemas a investigar la vulnerabilidad y preparar mitigaciones y capacidades de detección.

El mes pasado, Ionescu y Shafir también han detalles publicados y código de prueba de concepto por una vulnerabilidad similar a la que llamaron FaxHell.

FaxHell funciona de manera similar a PrintDemon, pero los investigadores explotaron el servicio de fax de Windows para sobrescribir y secuestrar archivos locales (DLL) para instalar shells y puertas traseras en los sistemas Windows.





Enlace a la noticia authentic