Home Sociedad Los nuevos días cero de Windows PrintNightmare, reciben un parche no oficial...

Los nuevos días cero de Windows PrintNightmare, reciben un parche no oficial gratuito

Se ha publicado un parche no oficial gratuito para proteger a los usuarios de Windows de todas las nuevas vulnerabilidades de día cero PrintNightmare descubiertas desde junio.

Los detalles técnicos y un exploit de prueba de concepto (PoC) para una nueva vulnerabilidad del spooler de impresión de Windows llamada ‘PrintNightmare’ (CVE-2021-34527) fueron revelados accidentalmente en junio.

Esta vulnerabilidad permite la ejecución remota de código y el aumento de privilegios locales, mediante la instalación de controladores de impresora maliciosos.

Aunque Microsoft publicó una actualización de seguridad para la parte de ejecución remota de código, los investigadores se saltaron rápidamente el componente de elevación local de privilegios. Desde entonces, el investigador de seguridad y creador de Mimikatz, Benjamin Delpy, ha estado ideando otras vulnerabilidades dirigidas al spooler de impresión que siguen sin parchear.

Se trata de vulnerabilidades críticas, ya que permiten a cualquiera obtener privilegios de SISTEMA en un dispositivo local, incluso en un controlador de dominio, simplemente conectándose a un servidor de impresión remoto accesible por Internet e instalando un controlador de impresión malicioso.

Una vez que un actor de la amenaza obtiene privilegios de SISTEMA, el sistema se acaba. Si esto se hace en un Controlador de Dominio, entonces el actor de la amenaza ahora controla efectivamente el Dominio de Windows.

Las mitigaciones para las vulnerabilidades de día cero de PrintNightmare ya están disponibles a través de la política de grupo ‘PackagePointAndPrintServerList’, que permite especificar una lista blanca de servidores de impresión aprobados que pueden utilizarse para instalar un controlador de impresión.

Activando esta política, junto con un nombre de servidor falso, se bloquearán efectivamente los exploits de Delpy, ya que el servidor de impresión será bloqueado.

Sin embargo, para aquellos que quieran instalar un parche y no tratar de entender los avisos y juguetear con las políticas de grupo, Mitja Kolsek, cofundador del servicio de micropatching 0patch, ha publicado un micropatch gratuito que puede utilizarse para corregir todas las vulnerabilidades conocidas de PrintNightmare.

Es necesario registrar una cuenta de 0patch y luego instalar un agente en su dispositivo Windows para instalar el parche. Una vez instalado, 0patch le protegerá automáticamente de la vulnerabilidad PrintNightmare y de otros fallos no parcheados.

Aunque 0patch es una herramienta esencial para bloquear vulnerabilidades sin parchear, Delpy dice que, en este caso particular, habilitar las políticas de grupo que bloquean la explotación de todos los errores conocidos de PrintNightmare podría ser un mejor enfoque.