Un nuevo fallo en las impresoras pone en peligro tu Windows

Desde el mes pasado, un fallo de seguridad en Windows está poniendo en peligro la seguridad de los usuarios: CVE-2021-34527. Este fallo, conocido como PrintNightmare, fue revelado por error por un investigador de seguridad y permite ganar privilegios, o ejecutar código, a través de las colas de impresión del sistema operativo. Aunque Microsoft ya ha lanzado dos parches para solucionarlo, el fallo sigue abierto y afectando a los usuarios. Y acaban de encontrar, de nuevo, cómo seguir aprovechándose de él.

Sigue la pesadilla en la cola de impresión de Windows

El investigador de seguridad Benjamin Delpy está investigando, de cerca, cómo funciona esta vulnerabilidad. Este investigador ha sido el que ha demostrado que los primeros parches para mitigarla eran inútiles, y también ha sido el que ha descubierto que el fallo, a pesar de los nuevos parches de seguridad de Windows, sigue abierto en el sistema operativo. Y este nuevo problema ha sido ya registrado como CVE-2021-34481.

En esta ocasión, lo que ha demostrado es que, al instalar la impresora, el fabricante puede especificar los tipos de archivos que puede permitir en la cola de impresión. Esta lista de archivos se descarga a cada cliente que se conecta al servidor de impresión para que Windows pueda leerla correctamente. A través de esta vulnerabilidad, es posible crear un falso servidor de impresión con una serie de archivos DLL específicos. Y, cuando un cliente se conecte a este falso servidor, estas DLL se cargarán en el sistema, permitiendo conseguir permisos SYSTEM o ejecutar código remoto en el PC.

Es verdad que Windows requiere de una firma digital válida para poder instalar controladores en el sistema, pero una vez que el controlador se ha instalado, ya no vuelve a pedir esta validación a la hora de copiar otros archivos al sistema.

Want to test #printnightmare (ep 4.x) user-to-system as a service?
(POC only, will write a log file to system32)

connect to \\https://t.co/6Pk2UnOXaG with
– user: .\gentilguest
– password: password

Open 'Kiwi Legit Printer – x64', then 'Kiwi Legit Printer – x64 (another one)' pic.twitter.com/zHX3aq9PpM

— Benjamin Delpy (@gentilkiwi) July 17, 2021

Cómo mitigar este nuevo PrintNightmare

De momento, Microsoft no ha hecho declaraciones sobre este nuevo problema de seguridad ni sobre si lo solucionará pronto, o tendremos que esperar a los parches del mes que viene para recibir la corrección. Por suerte, este investigador de seguridad ha explicado dos formas diferentes de mitigar estos problemas.

La primera de ellas es bloquear el tráfico saliente SMB. Sin embargo, esta técnica para mitigar el fallo lo hace «a medias», ya que los piratas informáticos también podrían hacer uso de MS-WPRN para instalar los drivers sin usar SMB, además de permitir a los piratas usar servidores de impresión locales para aprovecharse de la vulnerabilidad, por lo que no es un método 100% válido.

La segunda opción es configurar una serie de servidores de impresión de confianza a través de la política de uso «Package Point and Print – Approved servers». Esta política se encarga de que los usuarios no administradores no puedan instalar ningún tipo de servidor de impresión si no se encuentran en la lista de confianza.

Este segundo método es el que ofrece mejor protección, por ahora, frente a esta nueva vulnerabilidad similar a PrintNightmare. Al menos hasta que Microsoft lance un nuevo parche para proteger a los usuarios, y este realmente funcione.

Fuente: SoftZone https://ift.tt/3zhP9GV Autor: Rubén Velasco