Microsoft confirma otro error de cola de impresión de Windows de día cero

Microsoft ha emitido un aviso sobre otra vulnerabilidad de cola de impresión de Windows de día cero rastreada como CVE-2021-36958 que permite a los atacantes locales obtener privilegios de SISTEMA en una computadora.

Esta vulnerabilidad es parte de una clase de error conocida como "PrintNightmare", que abusa de los valores de configuración del administrador de trabajos de impresión de Windows, los controladores de impresora y la función de apuntar e imprimir de Windows.

Microsoft lanzó actualizaciones de seguridad en julio y agosto para corregir varias vulnerabilidades de PrintNightmare.

Sin embargo, una vulnerabilidad revelada por el investigador de seguridad Benjamín Delpy sin embargo, permite que las amenazas obtengan privilegios del SISTEMA rápidamente simplemente conectándose a un servidor de impresión remoto, como se muestra a continuación.

Esta vulnerabilidad utiliza la directiva de registro CopyFile para copiar un archivo DLL que abre un símbolo del sistema al cliente junto con un controlador de impresión cuando se conecta a una impresora.

Mientras que Microsoft actualizaciones de seguridad recientes cambió el procedimiento para instalar el nuevo controlador de impresora para requerir privilegios de administrador, no necesitará ingresar privilegios de administrador para conectarse a una impresora cuando ese controlador ya está instalado.

Además, si el controlador existe en un cliente y, por lo tanto, no es necesario instalarlo, la conexión a una impresora remota seguirá ejecutando la directiva CopyFile para los usuarios que no son administradores. Esta debilidad le permite copiar la DLL de Delpy al cliente y ejecutarla para abrir un símbolo del sistema a nivel del sistema.

Índice de contenidos
  1. Microsoft emite un aviso sobre CVE-2021-36958
  2. Mitigar la vulnerabilidad CVE-2021-36958

Microsoft emite un aviso sobre CVE-2021-36958

Hoy, Microsoft emitió una advertencia en una nueva vulnerabilidad de cola de impresión de Windows encontrada como CVE-2021-36958.

"Existe una vulnerabilidad de ejecución remota de código cuando el servicio de cola de impresión de Windows realiza incorrectamente operaciones con archivos privilegiados", se lee Aviso CVE-2021-36958.

"Un atacante que aprovechara con éxito esta vulnerabilidad podría ejecutar código arbitrario con privilegios de SISTEMA. Un atacante podría instalar programas, ver, modificar o eliminar datos, o crear nuevas cuentas con derechos de usuario completos".

"La solución a esta vulnerabilidad es detener y deshabilitar el servicio de cola de impresión".

Will Dormann, un analista de vulnerabilidades de CERT / CC, le dijo a BleepingComputer que Microsoft ha confirmado que CVE-2021-36958 coincide con el exploit PoC compartido por Delpy en Twitter y descrito anteriormente.

En el aviso, Microsoft atribuye el error a Víctor Mata de FusionX, Accenture Security, que también descubrió el error en diciembre de 2020.

Curiosamente, Microsoft ha clasificado esta vulnerabilidad como una vulnerabilidad de ejecución remota de código, aunque el ataque debe realizarse localmente en una computadora.

Cuando BleepingComputer le pidió a Dormann que aclarara si se trataba de un etiquetado incorrecto, nos dijeron que "es claramente local (LPE)" según la puntuación CVSS: 3,0 7,3 / 6,8.

"Se acaban de reciclar" Existe una vulnerabilidad de ejecución remota de código cuando el servicio de cola de impresión de Windows realiza incorrectamente operaciones con archivos privilegiados ": https://google.com/search?q=%22A+", Dijo Dormann a BleepingComputer.

Es probable que Microsoft actualice su aviso en los próximos días para cambiar su calificación de "impacto" a "Elevación de privilegios".

Mitigar la vulnerabilidad CVE-2021-36958

Microsoft aún no ha publicado una actualización de seguridad para esta falla, pero dice que es posible eliminar el vector de ataque deshabilitando la cola de impresión.

Dado que la desactivación de la cola de impresión evitará que el dispositivo imprima, un método mejor es permitir que el dispositivo instale impresoras de servidores autorizados.

Esta restricción se puede realizar mediante la política de grupo "Paquete Point and Print - Servidores aprobados", que evita que los usuarios no administrativos instalen controladores de impresión mediante Point and Print a menos que el servidor de impresión esté en la lista de aprobados.

Package Point and Print - Política de grupo de servidores aprobados
Package Point and Print - Política de grupo de servidores aprobados

Para habilitar esta política, inicie el Editor de políticas de grupo (gpedit.msc) y vaya a Configuración de usuario > Modelos administrativos > Panel de control > Impresoras > Empaquetar e imprimir: servidores aprobados.

Cuando habilite la política, ingrese la lista de servidores que desea permitir usar como servidor de impresión, luego presione OK para activar la política. Si no tiene un servidor de impresión en su red, puede ingresar un nombre de servidor falso para habilitar la función.

El uso de esta política de grupo brindará la mejor protección contra las vulnerabilidades de CVE-2021-36958, pero no evitará que las amenazas tomen el control de un servidor de impresión autorizado con controladores maliciosos.

Descubre más contenido

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir Change privacy settings