Errores sin parchear en la cola de impresión de Windows

Microsoft ha vuelto a emitir una advertencia en la que aconseja a los usuarios deshabilitar la cola de impresión de Windows, lo que ha sido una recomendación constante en el último tiempo, debido a una seguidilla de vulnerabilidades (elevación de privilegios) de día cero en el servicio Windows Print Spooler que afecta a todas las versiones de Windows.

Windows Print Spooler

Print Spooler es una aplicación/interfaz/servicio que interactúa con impresoras locales o en red y administra el proceso de impresión. Tal como lo hemos informado en anteriores boletines, se han reportado múltiples fallas que afectan a Windows Print Spooler a lo largo de los años, entre ellos podemos destacar:

• CVE-2016-3238
• CVE-2020-1048
• CVE-2020-1337

Junto con las anteriores podemos sumar otras vulnerabilidades informadas por microsoft solo en las últimas cinco semanas:

• CVE-2021-1675 
• CVE-2021-34527 
• CVE-2021-34481

CVE-2021-1675, se calificó inicialmente como una vulnerabilidad de elevación de privilegios de baja importancia y fue parcheada el martes de parches de Microsoft de junio de 2021.  Semanas después Microsoft cambió la clasificación de la vulnerabilidad porque se descubrió que la falla permite la ejecución remota de código (RCE) y se reclasificó como crítica debido a que investigadores de la firma de seguridad china QiAnXin publicaron un GIF en Twitter que mostraba un exploit funcional para la falla CVE-2021-1675, pero evitaron revelar los detalles técnicos sobre el ataque.

La vulnerabilidad incluye tanto una ejecución remota de código (RCE) como un vector de escalada de privilegios locales (LPE) que se pueden usar en ataques para ejecutar comandos con privilegios de SISTEMA en un sistema vulnerable.

Según lo declarado por Microsoft a través de su equipo de MSRC: Microsoft lanzó una actualización de seguridad fuera de banda (OOB) para CVE-2021-34527, que se está discutiendo externamente como PrintNightmare. Esta fue una versión de actualización acumulativa, que contiene todas las correcciones de seguridad anteriores.

Los investigadores aclararon que el parche de Microsoft para CVE-2021-1675 del 8 de junio estaba incompleto, lo que provocó que el exploit PrintNightmare RCE funcionase en sistemas actualizados obligando a la compañía a lanzar la actualización fuera de banda mencionada.

Esta vulnerabilidad fue informada a Microsoft por el investigador de seguridad de Dragos, Jacob Baines, en junio, y aún no se ha parcheado. Está programado que Baines dé una presentación sobre el error en DEF CON a principios de agosto.

Microsoft aún no compartirá qué versiones de Windows se ven afectadas hasta que se proporcione una actualización de seguridad. La compañía aconseja a los administradores de empresas que detengan y deshabiliten el servicio de cola de impresión, si es posible.

Otra vulnerabilidad que fue revelada por el investigador de seguridad Benjamin Delpy, hace relación a un problema de Microsoft Windows cuando permite a los usuarios que no son administradores instalar controladores de impresora a través de Point and Print. Las impresoras instaladas mediante esta técnica también instalan archivos específicos de la cola, que pueden ser bibliotecas arbitrarias para ser cargadas por el proceso privilegiado de Windows Print Spooler. 

*Actualmente se desconoce si estas dos vulnerabilidades son la misma o si se superponen. Un exploit para esta vulnerabilidad está disponible públicamente.

El investigador Delpy y Dormann han compartido dos métodos que se pueden utilizar para mitigar esta nueva vulnerabilidad de "archivos específicos de la cola".

Ambos métodos se describen en el aviso del CERT

• Opción 1: Bloquear el tráfico SMB saliente en el límite de su red

Como el exploit público de Delpy utiliza un servidor de impresión remoto, puede bloquear el tráfico SMB saliente para evitar el acceso a la computadora remota. Sin embargo, Dormann afirma que MS-WPRN también se puede usar para instalar controladores sin usar SMB, y los actores de amenazas aún podrían usar esta técnica con un servidor de impresión local. Por lo tanto, esta mitigación no es un método a prueba de fallas para bloquear el exploit.

• Opción 2: Configurar PackagePointAndPrintServerList

Una mejor manera de prevenir esta vulnerabilidad es restringir Point and Print a una lista de servidores aprobados usando la política de grupo 'Package Point and print - Servidores aprobados'.

Panorama

Estos problemas son solo el resultado más reciente de las consecuencias después de que la falla PrintNightmare se hiciera pública accidentalmente el mes pasado, lo que llevó al descubrimiento de una serie de vulnerabilidades que afectan al servicio Print Spooler.

Además, desde una solución incompleta, los investigadores de seguridad han estado analizando intensamente las API de impresión de Windows y han encontrado más vulnerabilidades que afectan a la cola de impresión de Windows.

Dada la falta de detalles en torno a CVE-2021-34481, no está claro si estas últimas vulnerabilidades reportadas son la misma o si se superponen. Sobre esto Microsoft ha manifestado lo siguiente: "Estamos investigando los informes y tomaremos las medidas necesarias para ayudar a mantener protegidos a los clientes".

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Instalar las actualizaciones del fabricante cuando estén disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.