Por qué Windows Print Spooler sigue siendo un gran objetivo de ataque



Cuando un equipo de piratas informáticos que se cree que eran de EE. UU. E Israel desplegó el gusano Stuxnet en 2010 para sabotear centrifugadoras en una instalación iraní de enriquecimiento de uranio en Natanz, una vulnerabilidad crítica que explotaron en el ataque fue una falla en Windows Print Spooler.

Más de una década después del incidente, la tecnología de servicios de impresión de Microsoft sigue siendo un objetivo common para los atacantes que buscan obtener un acceso altamente privilegiado en las redes empresariales. Para los equipos de seguridad, el servicio, que se utiliza para administrar el proceso de impresión en entornos Windows, sigue siendo una superficie de ataque masivo que necesita casi constantemente parches y reparaciones.

Solo este año, Microsoft se apresuró a emitir actualizaciones para múltiples fallas críticas recientemente descubiertas en Print Spooler, en algunos casos solo después de informes de exploits disponibles para ellos en la naturaleza. Los ejemplos más recientes son CVE-2021-36958, una falla de ejecución remota de código para la cual Microsoft emitió un parche de emergencia fuera de banda en agosto, y el llamado mistake «PrintNightmare» [CVE-2021-34527], lo que generó avisos urgentes de US-CERT y otros para que las organizaciones desactiven inmediatamente Print Spooler en todos los sistemas críticos. Los defectos y muchos otros a lo largo de los años, incluidos CVE-2021-1675 parcheado este junio y el defecto «PrintDemon» (CVE-2020-1048) del pasado mes de mayo, han servido para resaltar el potente riesgo que Windows Print Spooler sigue presentando para las organizaciones.

Blanco perfecto
Para los actores de amenazas, la tecnología presenta un objetivo de ataque perfect, dicen los expertos en seguridad. Print Spooler tiene más de 20 años y details de Home windows NT. Es complejo y está plagado de errores que esperan ser encontrados. El servicio está habilitado de forma predeterminada en todos los sistemas Home windows, incluidos los controladores de dominio y otros sistemas Home windows empresariales críticos. La tecnología, cuando se explota, puede otorgar a los atacantes privilegios a nivel de sistema y la capacidad de instalar malware, modificar datos y ejecutar código malicioso de forma remota. En sistemas críticos como el controlador de dominio y los sistemas de Energetic Directory, las fallas de Print Spooler como PrintNightmare han brindado a los atacantes la oportunidad de crear nuevas cuentas de administrador y obtener acceso a cualquier sistema de la purple.

«El servicio Print Spooler está activado de forma predeterminada en todas las versiones de Home windows, estaciones de trabajo, servidores y sistemas antiguos y nuevos por igual», dice Oren Biderman, experto senior en respuesta a incidentes de Sygnia. «Diferentes tipos de actores de amenazas, desde actores respaldados por estados nacionales hasta grupos de ransomware, [have abused] Print Spooler bugs para elevar los privilegios en las máquinas o en el nivel de dominio y ejecutar su código de manera sigilosa «.

Desde la perspectiva de un defensor, es difícil identificar los intentos de explotación y los registros de eventos de Home windows relevantes están deshabilitados de forma predeterminada. Esto significa que las organizaciones a menudo necesitan buscar proactivamente intentos de explotación dentro de sus redes dirigidas a Print Spooler, dice Biderman.

Los errores de Print Spooler son fáciles de explotar, incluso sin poseer habilidades técnicas muy sólidas. Además, los exploits son estables, lo que significa que los actores de amenazas a menudo pueden ejecutar un exploit sin bloquear el sistema vulnerable. Significativamente, un exploit de Print Spooler funcionará para cualquier sistema: estaciones de trabajo, servidores, sistemas más antiguos como Home windows 2008 y sistemas más nuevos como Home windows Server 2019, dice Biderman.

El acceso altamente privilegiado que Print Spooler puede proporcionar a las redes empresariales puede ser especialmente problemático. Por ejemplo, el mistake PrintNightmare en un componente de Print Spooler para instalar controladores de impresora les dio a los atacantes una forma de comprometer la infraestructura de identidad completa de una organización muy rápidamente. Les otorgó a los atacantes privilegios de nivel de sistema en los controladores de dominio y la capacidad de ejecutar acciones maliciosas a través de un canal cifrado con derechos de administrador completos.

«Los piratas informáticos buscan cualquier servicio que escuche en un puerto con el que puedan comunicarse», dice Archie Agarwal, fundador y director ejecutivo de ThreatModeler. «Da la casualidad de que el servicio Microsoft Print Spooler tiene privilegios de sistema, lo que significa que cualquier código [that] los atacantes que puedan ejecutar de forma remota en el contexto de este servicio tendrán esos mismos privilegios elevados «.

Los errores de Print Spooler a menudo permiten el movimiento lateral y la escalada de privilegios, lo que los convierte en un gran objetivo para los atacantes, dice Agarwal.

Factores de complicación
Hay otros factores que hacen de Print Spooler una pesadilla para los administradores de seguridad. Uno de ellos es la complejidad. Por ejemplo, el hecho de que Print Spooler interactúe con el subsistema de llamada a procedimiento remoto (RPC) puede hacer que la corrección de vulnerabilidades sea un desafío para las organizaciones en algunas circunstancias. Eso es porque RPC es un subsistema extremadamente complejo que ha sido una fuente de numerosas vulnerabilidades en sí mismo, dice Jake Williams, cofundador y CTO de BreachQuest. Para mitigar por completo los riesgos de las vulnerabilidades en Print Spooler, las organizaciones a menudo se ven obligadas a asegurarse de que la forma en que interactúa con el subsistema RPC también sea segura.

«Print Spooler probablemente deba ser reescrito desde cero», dice Williams. «Los actores de amenazas saben que hay sangre en el agua y están trabajando para descubrir vulnerabilidades adicionales en el subsistema Print Spooler».

El propio manejo de Microsoft de los errores de Print Spooler también ha sido una fuente de frustración para los administradores de seguridad. Muchos, por ejemplo, habían asumido un parche que Microsoft había emitido en junio para una falla en Print Spooler (CVE-2021-1675) los protegería de los ataques relacionados con el error PrintNightmare un mes después. Los investigadores de seguridad creen que aunque ambos errores probablemente tuvieron la misma causa raíz, el parche de junio de Microsoft solo abordó un problema de escalada de privilegios nearby sin considerar el potencial de abuso remoto de la misma vulnerabilidad subyacente.

Ha habido muchos otros casos en los que los parches que Microsoft ha emitido para las fallas de Print Spooler no han logrado proteger completamente a las organizaciones contra los ataques dirigidos a las fallas. En 2020, 10 años después del incidente de Stuxnet, los investigadores de Secure Breach descubrieron tres fallas de día cero en Print Spoolers, dos de las cuales esencialmente implicaban una nueva forma de explotar la misma función que Stuxnet hizo hace una década.

«Luchamos lo suficiente como industria que intenta remediar las vulnerabilidades, pero el esfuerzo se confunde aún más cuando los proveedores lanzan parches que no funcionan o publican correcciones defectuosas», dice Yaniv Bar-Dayan, CEO y cofundador de Vulcan Cyber. «E incluso si un parche se corrige a la perfección, esto no significa que se haya aplicado o aplicado correctamente con todas las demás correcciones que a menudo se necesitan junto con un parche».

Es difícil saber exactamente por qué Microsoft no ha podido fortalecer completamente el servicio Print Spooler, agrega Claire Tills, ingeniera de investigación senior de Tenable. Los investigadores, los profesionales de seguridad y los atacantes han prestado mucha atención a Print Spooler, lo que ha presionado a Microsoft para que responda rápidamente.

«Esto puede hacer que Microsoft publique parches para problemas individuales sin investigar completamente el servicio», dice Tillis.



Enlace a la noticia primary