Microsoft emite un nuevo CVE para el defecto &#39PrintNightmare&#39



La compañía dice que el problema de ejecución remota de código en todas las versiones de Home windows es diferente de uno en Windows Print Spooler que había parcheado el mes pasado, aunque ambos afectan la misma función.

Microsoft emitió el jueves un nuevo identificador de vulnerabilidad (CVE) para la falla «PrintNightmare» que afecta a los servicios de Windows Print Spooler, alegando que la falla es related pero distinta de otra falla crítica en la tecnología (CVE-2021-1675) que había parcheado el 8 de junio.

La compañía también publicó preguntas frecuentes y soluciones para el CVE recién emitido mientras investigaba la nueva vulnerabilidad crítica para la que el código de explotación ya está disponible públicamente. «Microsoft conoce e investiga una vulnerabilidad de ejecución remota de código que afecta a Windows Print Spooler y ha asignado CVE-2021-34527 a esta vulnerabilidad «, dijo la compañía el 1 de julio.» Esta es una situación en evolución y actualizaremos el CVE a medida que haya más información disponible «.

La medida de Microsoft se produjo después de que el Centro de Coordinación CERT, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) y otras instaran a las organizaciones a deshabilitar inmediatamente Servicios de cola de impresión en sistemas críticos como controladores de dominio y sistemas de administración de Energetic Listing, citando vulnerabilidades dirigidas a PrintNightmare.

La alerta CERT CC señaló la actualización que Microsoft había emitido para CVE-2021-1675 el 8 de junio y advirtió que period ineficaz contra las vulnerabilidades de PrintNightmare. «Si bien Microsoft ha publicado una actualización para CVE-2021-1675, es importante darse cuenta de que esta actualización NO aborda las vulnerabilidades públicas que también se identifican como CVE-2021-1675», CERT CC nota de vulnerabilidad dicho. La alerta CERT, como una de CISA – instó a las organizaciones a desactivar Print Spooler en sistemas críticos debido al riesgo que presenta. La falla de PrintNightmare, si se explota con éxito, permitiría a un atacante autenticado obtener acceso completo a los sistemas vulnerables a nivel de sistema, advirtió.

Sin embargo, la actualización de Microsoft del 1 de julio buscaba separar PrintNightmare de la vulnerabilidad que había parcheado el 8 de junio, aunque ambas afectan exactamente a la misma función Print Spooler: RpcAddPrinterDriverEx (). Eso convertiría oficialmente a PrintNightmare en un nuevo día cero en Print Spooler para el que actualmente hay exploits disponibles. Fortinet ha publicado firmas IPS para la vulnerabilidad.

Según la compañía, la vulnerabilidad PrintNightmare estaba presente en Print Spooler antes de la actualización de junio de 2021 e involucra un vector de ataque diferente de CVE-2021-1675. Todas las versiones de Windows se ven afectadas por la falla PrintNightmare, pero Microsoft aún está investigando si los exploits en su contra funcionarán en todas las versiones, dijo la compañía.

Los controladores de dominio, uno de los recursos más críticos en cualquier red, se ven afectados, dijo Microsoft. «Todavía estamos investigando si otros tipos de roles también se ven afectados».

Como soluciones alternativas para PrintNightmare, la compañía recomendó a las organizaciones que deshabiliten el servicio de cola de impresión o deshabiliten la impresión remota entrante mediante la política de grupo. La desactivación del Spooler deshabilitaría la capacidad de imprimir tanto de forma community como remota, mientras que la desactivación de la impresión remota entrante permitiría la impresión area en un dispositivo directamente conectado, dijo la compañía.

Boris Larin, investigador de seguridad de Kaspersky, dice que, si bien la posición oficial de Microsoft es que PrintNightmare es una vulnerabilidad separada de CVE-2021-1675, es probable que ambas tengan la misma causa raíz. «CVE-2021-1675 tenía como objetivo parchear el escenario de elevación regional de privilegios, pero PrintNightmare permite la ejecución remota de código cuando los atacantes tienen acceso al servicio Print Spooler», dice. «Es posible que el escenario remoto para la explotación no se haya considerado durante el parche».

PrintNightmare es solo el último de una larga lista de vulnerabilidades que se han descubierto en Print Spooler a lo largo de los años. La más infame de estas vulnerabilidades fue un problema de escalada de privilegios que permitió el ataque Stuxnet liderado por Estados Unidos contra la instalación de enriquecimiento de uranio de Irán en Natanz en 2010.

Un trío de investigadores de Sangfor Systems de China descubrió PrintNightmare durante una inspección de la tecnología que duró meses. Los investigadores están programados para detallar el defecto – y otras vulnerabilidades que descubrieron en Print Spooler durante su investigación – en el próximo Black Hat United states of america. Los investigadores lanzaron un código de prueba de explotación para PrintNightmare en GitHub, pero lo eliminaron rápidamente después del retroceso de otros investigadores. Sin embargo, en el breve período de tiempo que estuvo disponible en GitHub, el código de explotación se copió y, como resultado, está disponible en la naturaleza.

El aviso de Microsoft señaló que la compañía ha detectado actividad de explotación contra la falla.

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en el periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia original