El mes pasado, expertos en ciberseguridad sin darse cuenta desvelado un exploit PoC para un problema peligroso relacionado con el servicio de cola de impresión de Windows, que es una interfaz universal entre el sistema operativo, aplicaciones e impresoras locales o de red, permitir a los desarrolladores de aplicaciones enviar trabajos de impresión.
Como resultado, se lanzó un parche de emergencia para la vulnerabilidad, cual fue criticado por expertos por su ineficiencia, pero microsoft dicho que la solución funcionó como debería.
Sin embargo, como Computadora que suena ahora informa, Los problemas con Windows Print Spooler no han terminado. El investigador de seguridad y creador de Mimikatz, Benjamin Delpy, dijo que encontró una manera de abusar del método habitual de instalar controladores de impresora en Windows y obtener privilegios del SISTEMA utilizando controladores maliciosos.. Además, este método funciona incluso si los administradores han tomado Medidas de mitigación recomendadas por Microsoft limitando la instalación de controladores de impresora y deshabilitando Point and Print.
#imprimir pesadilla – Episodio 3
Sabes que incluso parcheado, con configuración predeterminada (o seguridad impuesta con #Microsoft ajustes), un usuario estándar puede cargar controladores como SISTEMA?
– Escalada de privilegios locales – #característica pic.twitter.com/Zdge0okzKi
— ? Benjamín Delpy (@gentilkiwi) Julio 15, 2021
Si bien el nuevo método de escalada de privilegios local es diferente del exploit llamado PrintNightmare, Delpy dice que estos son errores muy similares que deberían tratarse por completo.
El experto explica que en el pasado, Microsoft ha intentado evitar este tipo de ataques dejando de dar soporte a la versión 3 controladores de impresora, pero esto eventualmente causó problemas, y microsoft abandonó la idea en junio 2017.
Desgraciadamente, Lo más probable es que este problema nunca se solucione porque Windows debe permitir que un administrador instale los controladores de la impresora., incluso si pueden ser maliciosos. Además, Windows debería permitir a los usuarios que no sean administradores instalar controladores firmados en sus dispositivos para facilitar su uso.. A saber, Delpy abusó de estos matices.
También cabe mencionar que esta semana Microsoft compartió sus recomendaciones para solucionar la nueva vulnerabilidad Print Spooler., que tiene el identificador CVE-2021-34481. El problema también está relacionado con la escalada de privilegios a través de Print Spooler., y fue descubierto por el especialista de Dragos, Jacob Baines..
A diferencia del problema PrintNightmare, esta vulnerabilidad solo se puede explotar localmente para escalar privilegios. Baines señala que CVE-2021-34481 y PrintNightmare no están relacionados y representan errores diferentes.
Actualmente se sabe poco sobre este tema., incluyendo qué versiones de Windows son vulnerables a él. Baines solo dice que el error está relacionado de alguna manera con el controlador de la impresora., y el investigador promete contar todos los detalles en agosto 7, durante un discurso en el Conferencia DEF CON.
Actualmente, Microsoft simplemente recomienda desactivar Print Spooler en la máquina afectada.
