Nuevo error de día cero se une al conjunto de vulnerabilidades de PrintNightmare

12 Agosto 2021
Crítico

Microsoft ha vuelto a emitir una advertencia en la que aconseja a los usuarios deshabilitar la cola de impresión de Windows, lo que ha sido una recomendación constante en el último tiempo, debido a una seguidilla de vulnerabilidades (elevación de privilegios) de día cero en el servicio Windows Print Spooler que afecta a todas las versiones de Windows.

La continua aparición de vulnerabilidades que Microsoft ha reportado en los últimos meses ha sido oportunamente informada en nuestros boletines, como lo destacado en “Errores sin parchear en la cola de impresión de Windows”.

Nuevo día cero en PrintNightmare

PrintNightmare es un conjunto de vulnerabilidades en la cola de impresión de Windows que puede ser utilizada por atacantes para instalar malware o eliminar datos de los usuarios, incluso hasta el punto de poder crear nuevos usuarios con privilegios de administrador. Este conjunto de vulnerabilidades fue parcheado por Microsoft en los meses de julio y agosto y recientemente se agrega un nuevo día cero a este conjunto de vulnerabilidades rastreado como CVE-2021-36958

A pesar de que Microsoft entregó los parches a tiempo en sus Path Tuesday para las vulnerabilidades de Print Spooler, otro error de día cero se une al conjunto de vulnerabilidades llamado PrintNightmare. 

Esta nueva vulnerabilidad de día cero ha sido identificada como CVE-2021-36958 y catalogada por Microsoft como una vulnerabilidad de ejecución remota de código, aunque el ataque debe realizarse localmente en una computadora. De ser explotada, los actores maliciosos podrían obtener privilegios de Sistema solo conectándose con un servidor de impresión remoto logrando instalar programas, ver, cambiar o eliminar datos, o crear nuevas cuentas con derechos de usuario completos.

Cambios de comportamiento predeterminados de Point and Print

Microsoft publicó el día 10 de agosto en su blog una entrada que habla sobre Cambios de comportamiento predeterminados de Point and Print. En esta publicación declaran que “estamos abordando este riesgo cambiando la instalación predeterminada del controlador Point and Print y el comportamiento de actualización para requerir privilegios de administrador”. Sin embargo, CVE-2021-36958 a diferencia de las otras vulnerabilidades asociadas a Print Spooler se salta los parches de seguridad anteriores de Microsoft que obligaba a tener privilegios de administrador para instalar drivers de impresoras, ya que en esta vulnerabilidad el driver ya está instalado. 

Sumado a esto, centro de coordinación mundial sobre problemas de seguridad (CERT/CC) entrega detalles explicando esta situación y agrega que la vulnerabilidad de día cero “surge de un descuido en los requisitos de firma en torno a la capacidad "Point and Print", que permite a los usuarios sin privilegios administrativos instalar controladores de impresora que se ejecutan con privilegios de SISTEMA a través del Servicio Print Spooler”.

Mitigación de la vulnerabilidad CVE-2021-36958

Hasta el momento Microsoft solo ha entregado una solución temporal para el error de día cero, ya que aún no se cuenta con un parche disponible, pero afirma que puede eliminar el vector de ataque deshabilitando el Administrador de trabajos de impresión. De momento la solución para esta vulnerabilidad es detener y deshabilitar el servicio de cola de impresión.

Panorama

Investigadores de CrowdStrike advirtieron en un informe detallando que los operadores del ransomware Magniber rápidamente usaron CVE-2021-34527 para atacar a los usuarios en Corea del Sur, con ataques que se remontan al menos al 13 de julio, lo que deja en evidencia que las vulnerabilidades asociadas al servicio de  impresión ya están en manos de los ciberactores que las utilizan como herramienta para sus operaciones.

Si bien aún no se tiene conocimiento de la explotación activa de este nuevo día cero, Microsoft lo ha catalogado como de “explotación más probable”, por lo cual creemos que los actores de amenazas no tardarán mucho en llevar a cabo este tipo de ataque. Esto dado que este tipo de vulnerabilidades, en el escenario actual, donde los usuarios postergan la actualización de parches, lo hace aún más llamativo para los grupos de amenazas.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

  • Instalar las actualizaciones del fabricante cuando estén disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.

El listado de las CVE se adjunta a continuación:


Tags: #Vulnerabilidad #Día Cero #PrintSpooler #PrintNightmare #Microsoft


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.