Vulnerabilidad en Print Spooler es activamente explotada por ciberatacantes

Microsoft recientemente ha notificado una falla de seguridad en el componente Windows Print Spooler, la cual fue parchada por Microsoft en febrero de este año. La falla fue identificada como CVE-2022-22718 con una puntuación CVSS3.1 de 7,8.

Esta vulnerabilidad es una de las cuatro fallas de escalada de privilegios en Print Spooler que Microsoft parcheo  como parte de sus actualizaciones del patch tuesday del martes 8 de febrero de 2022.

Tal como en ocasiones anteriores Microsoft aconseja a los usuarios deshabilitar la cola de impresión de Windows, lo que ha sido una recomendación constante en el último tiempo, debido a una seguidilla de vulnerabilidades (elevación de privilegios) en el servicio Windows Print Spooler que afecta a todas las versiones de Windows.

A su vez se debe señalar que Microsoft ha cubierto y mitigado un conjunto de fallas en Windows Print Spooler, esto desde que se tomó conocimiento de la vulnerabilidad crítica de ejecución remota de código (RCE) PrintNightmare en el año 2021, incluidas 15 vulnerabilidades de elevación de privilegios en abril de 2022.

Print Spooler es una aplicación/interfaz/servicio que interactúa con impresoras locales o en red y administra el proceso de impresión. Tal como lo hemos informado en anteriores boletines, se han reportado múltiples fallas que afectan a Windows Print Spooler a lo largo de los años, entre ellos podemos destacar:

• CVE-2016-3238
• CVE-2020-1048
• CVE-2020-1337

Junto con las anteriores podemos sumar otras vulnerabilidades informadas por microsoft solo en las últimas cinco semanas:

• CVE-2021-1675 
• CVE-2021-34527 
• CVE-2021-34481
• CVE-2021-36958

Esta vulnerabilidad fue identificada y catalogada por Microsoft como una vulnerabilidad de ejecución remota de código, aunque el ataque debe realizarse localmente en una computadora. De ser explotada, los actores maliciosos podrían obtener privilegios de Sistema solo conectándose con un servidor de impresión remoto logrando instalar programas, ver, cambiar o eliminar datos, o crear nuevas cuentas con derechos de usuario completos.

Esta vulnerabilidad se calificó inicialmente como una vulnerabilidad de elevación de privilegios de baja importancia y fue parcheada por Microsoft en junio de 2021.  Semanas después Microsoft cambió la clasificación de la vulnerabilidad porque se descubrió que la falla permite la ejecución remota de código (RCE) y se volvió a clasificar como una vulnerabilidad crítica debido a que investigadores de la firma de seguridad china QiAnXin publicaron un GIF en Twitter que mostraba un exploit funcional para la falla CVE-2021-1675, pero evitaron revelar los detalles técnicos sobre el ataque.

La explotación de CVE-2021-1675 podría dar a los atacantes remotos el control total de los sistemas vulnerables. Para lograr la ejecución remota de código (RCE), los atacantes deberían apuntar a un usuario autenticado en el servicio de cola de impresión. Sin autenticación, la falla podría aprovecharse para elevar los privilegios, haciendo de esta vulnerabilidad un vínculo valioso en una cadena de ataque.

Esta vulnerabilidad incluye tanto una ejecución remota de código (RCE) como un vector de escalada de privilegios locales (LPE) que se pueden usar en ataques para ejecutar comandos con privilegios de SISTEMA en un sistema vulnerable.

Según lo declarado por Microsoft a través de su equipo de MSRC: Microsoft lanzó una actualización de seguridad fuera de banda (OOB) para CVE-2021-34527, que se está discutiendo externamente como PrintNightmare. Esta fue una versión de actualización acumulativa, que contiene todas las correcciones de seguridad anteriores.

Los investigadores aclararon que el parche de Microsoft para CVE-2021-1675 del 8 de junio de 2021 estaba incompleto, lo que provocó que el exploit PrintNightmare RCE funcionase en sistemas actualizados obligando a la compañía a lanzar la actualización fuera de banda mencionada.

Esta vulnerabilidad fue informada a Microsoft por el investigador de seguridad de Dragos, Jacob Baines, en junio. Jacob Baines realizó una presentación sobre este  error en DEFCON 2021.
 

De acuerdo a lo informado  por la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), está vulnerabilidad está siendo activamente explotada.

Es por esto que CISA ha agregado esta falla de seguridad a su Catálogo de Vulnerabilidades Explotadas Conocidas (https://www.cisa.gov/known-exploited-vulnerabilities-catalog) y  a solicitado que las agencias de la Rama Ejecutiva Civil Federal (FCEB) aborden los problemas antes del 10 de mayo de 2022.

Al momento de esta publicación, se desconocen los detalles sobre la naturaleza de los ataques y la identidad de los actores de amenazas que pueden estar explotando el defecto de Windows Print Spooler, Como parte de los intentos de evitar una mayor número de ataques y explotación de esta por parte de los diferentes ciberdelincuentes, Microsoft catalogó o etiqueto esta falla como de "Explotación más probable", cuando se implementaron las correcciones en febrero de este año.

En relación a estas vulnerabilidades y a la prueba de concepto (PoC) que se encuentra disponible o que puedan seguir apareciendo en el transcurso del tiempo, se debe tener en cuenta que estas serán si o si utilizadas por ciberactores, ya sea en ataques a varios objetivos o en ataques dirigidos. Es por eso que es de suma importancia que los usuarios y organizaciones apliquen los parches que Microsoft ha puesto oportunamente a disposición.

Estos problemas son solo el resultado más reciente de las consecuencias después de que la falla PrintNightmare se hiciera pública en forma accidental en el año 2021, lo que llevó al descubrimiento de una serie de vulnerabilidades que afectan al servicio Print Spooler.

Además, desde una solución incompleta, los investigadores de seguridad han estado analizando intensamente las API de impresión de Windows y han encontrado más vulnerabilidades que afectan a la cola de impresión de Windows.

Se recomienda lo siguiente:

• Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
• Los clientes que ejecutan Windows 7, Windows Server 2008 R2 o Windows Server 2008 pueden comprar la “Actualización de seguridad extendida” para continuar recibiendo actualizaciones de seguridad. Consulte https://support.microsoft.com/en-us/help/4522133/procedure-to-continue-receiving-security-updates para más información.