Nuevo spooler de impresión de día cero de Windows que se puede utilizar a través de servidores de impresión remotos

Otra vulnerabilidad de día cero en Windows Print Spooler puede otorgar a un atacante privilegios administrativos en una máquina con Windows a través de un servidor remoto bajo el control del atacante y la función «Archivos específicos de la cola».

El mes pasado, un investigador de seguridad reveló accidentalmente una vulnerabilidad de cola de impresión de día cero de Windows conocida como Imprimir Pesadilla que Microsoft sigue como CVE-2021-34527.

La explotación de esta vulnerabilidad permite a un actor malintencionado aumentar sus privilegios en una máquina o ejecutar código de forma remota.

Microsoft publicó una actualización de seguridad para corregir la vulnerabilidad, pero los investigadores determinaron que la solución podría eludirse bajo ciertas condiciones.

Dado que el parche estaba incompleto, los investigadores de seguridad han examinado de cerca las API de impresión de Windows y encontró otras vulnerabilidades afectando a la cola de impresión de Windows.

Servidor de impresión remoto utilizado en el ataque

Investigador de seguridad y creador de Mimikatz Benjamín Delpy reveló públicamente una nueva vulnerabilidad de día cero que permite a un atacante obtener fácilmente privilegios de SISTEMA en una máquina con Windows a través de un servidor de impresión remoto bajo su control.

En una conversación con BleepingComputer, Delpy dijo que su hazaña usa el ‘Cola de archivos específicos‘Funcionalidad de Windows Capacidad para señalar e imprimir para descargar y ejecutar automáticamente una DLL maliciosa cuando un cliente se conecta a un servidor de impresión bajo el control de un atacante.

READ  Microsoft tenía un tema secreto de Windows XP que lo hacía parecer una Mac

«Al instalar la impresora, una aplicación de instalación suministrada por el proveedor puede especificar un conjunto de archivos, de cualquier tipo, para asociarlos con una cola de impresión en particular», explica la documentación de Microsoft en el ‘Cola de archivos específicosfuncionalidad.

«Los archivos se descargan a cada cliente que se conecta al servidor de impresión».

Para aprovechar la vulnerabilidad, el investigador creó un servidor de impresión con acceso a Internet con dos impresoras compartidas que utilizan la función de archivos específicos de la cola.

Configuración del registro de archivos específico de la cola
Configuración del registro de archivos específico de la cola
Fuente: Delpy

Al ejecutar la DLL maliciosa, se ejecutará con privilegios de SISTEMA y se puede utilizar para ejecutar cualquier comando en la computadora.

Will Dormann, un analista de vulnerabilidades de CERT / CC, ha publicado un aviso para esta vulnerabilidad que proporciona información adicional.

“Si bien Windows requiere que los paquetes de controladores estén firmados por una fuente confiable, los controladores de impresora de Windows pueden especificar poner en cola archivos específicos relacionados con el uso del dispositivo. Por ejemplo, una impresora compartida puede especificar un CopyFiles directiva para archivos ICM arbitrarios «, el nuevo CERT consultivo Explicar.

«Estos archivos, que se copian con los archivos del controlador de impresora firmados digitalmente, se no cubierto por cualquier requisito de firma. Es decir, cualquier archivo se puede copiar a un sistema cliente mediante la instalación del controlador de impresora Point and Print, donde puede ser utilizado por otra impresora con SYSTEM privilegios «.

«Esto permite el LPE en un sistema vulnerable».

Lo que hace que esta vulnerabilidad sea tan peligrosa es que afecta a todas las versiones actuales de Windows y permite que un actor malintencionado obtenga acceso limitado a una red y obtenga instantáneamente privilegios de SISTEMA en el dispositivo vulnerable.

READ  Samsung Galaxy Watch 4 podría lanzarse el 28 de junio en MWC 2021

Con este acceso, los actores malintencionados pueden propagarse lateralmente a través de la red hasta obtener acceso a un controlador de dominio.

Se ha compartido un video que demuestra este ataque con BleepingComputer y se publica a continuación.

Delpy tiene creó un servidor de impresión remoto accesible al público que se puede utilizar para probar la vulnerabilidad demostrada anteriormente.

Mitigar la vulnerabilidad de la nueva impresora

La buena noticia es que Delpy y Dormann han compartido dos métodos que pueden usarse para mitigar esta nueva vulnerabilidad de «archivos específicos de cola».

Estos dos métodos se describen en el aviso del CERT.

Opción 1: bloquee el tráfico SMB saliente en el borde de su red

Debido a que el exploit público de Delpy utiliza un servidor de impresión remoto, puede bloquear el tráfico SMB saliente para evitar el acceso a la computadora remota.

Sin embargo, Dormann afirma que MS-WPRN también se puede usar para instalar controladores sin usar SMB, y los actores malintencionados aún podrían usar esta técnica con un servidor de impresión local.

Por lo tanto, esta mitigación no es un método infalible para bloquear el exploit.

Opción 2: configurar PackagePointAndPrintServerList

Una mejor manera de prevenir esta vulnerabilidad es restringir Point and Print a una lista de servidores confiables usando la política de grupo «Point and Print Packets – Trusted Servers».

Punto de paquete e impresión: política de grupo de servidores aprobados
Punto de paquete e impresión: política de grupo de servidores aprobados

Esta política evita que los usuarios no administrativos instalen controladores de impresión utilizando Point and Print a menos que el servidor de impresión esté en la lista de aprobados.

El uso de esta Política de grupo proporcionará la mejor protección contra el exploit conocido.

READ  Samsung comienza a implementar el soporte de Android Auto para SmartThings

BleepingComputer se ha puesto en contacto con Microsoft con respecto al problema, pero no ha recibido una respuesta.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *