A finales de junio, los investigadores de seguridad debatían activamente sobre una vulnerabilidad en el servicio Administrador de trabajos de impresión, que apodaron PrintNightmare. Se supone que el parche, que se lanzó el martes de parches de junio, debería haber arreglado la vulnerabilidad, y lo hizo; sin embargo, había más de un problema. El parche cerró CVE-2021-1675, pero no CVE-2021-34527. Por tanto, ahora los ciberdelincuentes pueden utilizar los ordenadores o servidores con Windows que no estén parcheados para obtener su control, ya que el Administrador de trabajos de impresión se activa de forma predeterminada en todos los sistemas Windows.
Microsoft utiliza el nombre PrintNightmare para CVE-2021-34527, pero no para CVE-2021-1675; sin embargo, muchos otros lo utilizan para ambas vulnerabilidades.
Nuestros expertos han estudiado ambas vulnerabilidades a detalle y se han asegurado de que las soluciones de seguridad de Kaspersky, con su tecnología de prevención de exploits y protección basada en comportamiento, evite los intentos de explotación.
Por qué PrintNightmare es tan peligrosa
PrintNightmare se considera extremadamente peligrosa por dos motivos principales. El primero es que el Administrador de trabajos de impresión está habilitado de forma predeterminada en todos los sistemas con Windows, incluidos los controladores de dominio y los ordenadores con privilegios de administrador del sistema, por lo que todos estos equipos son vulnerables.
El segundo es que un malentendido entre equipos de investigadores (y, tal vez, un simple error) llevaron a que un exploit de prueba de concepto para PrintNightmare se publicara online. Los investigadores involucrados estaban seguros de que el problema se había resulto con el parche de junio de Microsoft, así que compartieron su trabajo con la comunidad de expertos. Sin embargo, este exploit siguió siendo peligroso. La PoC rápidamente se eliminó, pero no antes de que muchos otros la copiaran. Por ese motivo, los expertos de Kaspersky predijeron un aumento en los intentos de explotación de PrintNightmare.
Las vulnerabilidades y su explotación
CVE-2021-1675 es una vulnerabilidad de elevación de privilegio. Permite que un atacante con privilegios de acceso de bajo nivel cree y utilice un archivo malicioso DLL para ejecutar un exploit y obtener privilegios más elevados. Sin embargo, esto solo es posible si el atacante ya tiene acceso directo al ordenador vulnerable en cuestión. Microsoft considera que esta vulnerabilidad tiene un riesgo relativamente bajo.
CVE-2021-34527 es mucho más peligrosa: Si bien es similar, se trata de una vulnerabilidad de ejecución de código remoto (RCE), lo que significa que permite la ejecución remota de archivos DLL. Microsoft ya ha visto exploits de esta vulnerabilidad en entornos no controlados, y Securelist proporciona una descripción técnica más detallada de ambas vulnerabilidades y sus técnicas de explotación.
Debido a que los ciberdelincuentes pueden utilizar PrintNightmare para acceder a los datos en la infraestructura corporativa, también pueden utilizar el exploit para ataques de ransomware.
Cómo proteger tu infraestructura contra PrintNightmare
El primer paso para protegerte contra los ataques de PrintNightmare es instalar ambos parches, el de junio y el de julio, de Microsoft. Esta última página también proporciona soluciones alternativas de Microsoft en caso de que no puedas utilizar los parches; una de estas ni siquiera requiere que desactives el Administrador de trabajos de impresión.
Dicho esto, sugerimos encarecidamente que desactives el Administrador de trabajos de impresión de Windows en los ordenadores que no lo necesiten. En específico, es muy poco probable que los servidores del controlador de dominio necesiten poder imprimir.
Asimismo, todos los servidores y ordenadores necesitan soluciones de seguridad para endpoints de confianza que eviten los intentos de explotación de vulnerabilidades conocidas y desconocidas, incluida PrintNightmare.