PrintNightmare: una vulnerabilidad de Windows
Para finales de junio, los investigadores de seguridad debatían activamente sobre una vulnerabilidad en el servicio Administrador de trabajos de impresión, la cual apodaron PrintNightmare. Microsoft utiliza el nombre PrintNightmare para CVE-2021-34527, pero no para CVE-2021-1675; sin embargo, muchos otros lo utilizan para ambas vulnerabilidades.
Debido a que los malhechores pueden utilizar PrintNightmare para acceder a los datos en la infraestructura corporativa, también pueden utilizar el exploit para ataques de ransomware.
PrintNightmare se considera extremadamente peligrosa por dos motivos principales. El primero es que el Administrador de trabajos de impresión está habilitado de manera predeterminada en todos los sistemas con Windows, incluidos los controladores de dominio y las computadoras con privilegios de administrador del sistema, por lo que todos estos equipos son vulnerables.
El segundo es que un malentendido entre equipos de investigadores (y, tal vez, un simple error) llevaron a que un exploit de prueba de concepto para PrintNightmare se publicara en línea.
CVE-2021-34527 es mucho más peligrosa: Si bien es similar, es una vulnerabilidad de ejecución de código remoto (RCE), lo que significa que permite la ejecución remota de archivos DLL. Microsoft ya ha visto exploits de esta vulnerabilidad en entornos no controlados, y Securelist proporciona una descripción técnica más detallada de ambas vulnerabilidades y sus técnicas de explotación.
Cómo proteger tu infraestructura contra PrintNightmare
El primero paso para protegerte contra los ataques de PrintNightmare es instalar ambos parches, el de junio y el de julio , de Microsoft. Esta última página también proporciona soluciones alternativas de Microsoft en caso de que no puedas utilizar los parches; una de estas ni siquiera requiere que desactives el Administrador de trabajos de impresión.
Habiendo dicho esto, sugerimos encarecidamente que desactives el Administrador de trabajos de impresión de Windows en computadoras que no lo necesiten. En específico, es muy poco probable que los servidores del controlador de dominio necesiten poder imprimir.
Asimismo, todos los servidores y computadoras necesitan soluciones de seguridad de endpoints de confianza que evitan los intentos de explotación de vulnerabilidades conocidas y desconocidas, incluida PrintNightmare.
Con información de Kaspersky Latam.