El mes pasado, los expertos en ciberseguridad revelaron inadvertidamente un exploit de PoC para un problema peligroso relacionado con el servicio Windows Print Spooler, que es una interfaz universal entre el sistema operativo, las aplicaciones y las impresoras locales o de red, lo que permite a los desarrolladores de aplicaciones enviar trabajos de impresión.
Como resultado, se lanzó un parche de emergencia para la vulnerabilidad, que fue criticado por los expertos por su ineficiencia , pero Microsoft dijo que la solución funcionó como debería.
Pero, como informa ahora Bleeping Computer , los problemas con Windows Print Spooler no han terminado. El investigador de seguridad y creador de Mimikatz Benjamin Delpy dijo que encontró una manera de abusar del método habitual de instalar controladores de impresora en Windows y obtener privilegios de SISTEMA utilizando controladores maliciosos. Además, este método funciona incluso si los administradores han tomado las medidas de mitigación recomendadas por Microsoft al limitar la instalación de controladores de impresora y deshabilitar Point and Print.
Si bien el nuevo método de escalada de privilegios local es diferente del exploit llamado PrintNightmare, Delpy dice que estos son errores muy similares y deben tratarse como un todo. El experto explica que, en el pasado, Microsoft ha intentado evitar este tipo de ataques eliminando el soporte para los controladores de impresora de la versión 3. Pero esto finalmente causó problemas y Microsoft abandonó la idea en junio de 2017.
Desafortunadamente, este problema probablemente nunca se solucionará porque Windows debe permitir que un administrador instale controladores de impresora, incluso si pueden ser maliciosos. Además, Windows debería permitir que los usuarios que no son administradores instalen controladores firmados en sus dispositivos para facilitar su uso. Es decir, Delpy abusó de estos matices.
También vale la pena mencionar que esta semana Microsoft compartió sus recomendaciones para solucionar la nueva vulnerabilidad Print Spooler, que tiene el identificador CVE-2021-34481 . El problema también está relacionado con la escalada de privilegios a través de Print Spooler, y fue descubierto por el especialista en Dragos, Jacob Baines.
A diferencia del problema PrintNightmare, esta vulnerabilidad solo se puede explotar localmente para la escalada de privilegios. Baines señala que CVE-2021-34481 y PrintNightmare no están relacionados y representan errores diferentes.
En este momento, se sabe poco sobre este problema, incluidas las versiones de Windows que son vulnerables. Baines solo dice que el error está relacionado de alguna manera con el controlador de la impresora, y el investigador promete contar todos los detalles el 7 de agosto, durante un discurso en la conferencia DEF CON .
Actualmente, Microsoft simplemente recomienda deshabilitar Print Spooler en la máquina afectada.
Fuente: https://xakep.ru/
No olvides Compartir...
Siguenos en twitter: @disoftin - @fredyavila
0 Comentarios