PrintNightmare, una grave vulnerabilidad de día cero en sistemas Windows

Recomendados:  Anatomía del ataque a una cuenta privilegiada Leer Seis razones para proteger Salesforce con una solución de terceros Leer

En los boletines de seguridad de junio, Microsoft solucionó una vulnerabilidad en el servicio de la cola de impresión de Windows, vulnerabilidad que fue descrita como de importancia elevada, y que Microsoft elevó de categoría hasta considerarla como crítica, ya que existía la posibilidad de que un atacante la explotase para ejecutar código de forma remota.

Para constatar la gravedad de este agujero de seguridad, investigadores de una empresa de seguridad china demostrar cómo se podía conseguir tanto la ejecución remota de código como una escalada de privilegios local. Pensando que se trataba de la misma vulnerabilidad, investigadores de otra empresa de seguridad publicaron su informe donde analizaban este agujero de seguridad acompañado de un exploit como prueba de concepto, bautizando a la vulnerabilidad como PrintNightmare. Sin embargo, PrintNightmare no sería la misma vulnerabilidad que Microsoft parcheó, sino que se trata de una vulnerabilidad de día cero completamente nueva en la cola de impresión de Windows, para la que aún no se ha publicado parche de seguridad. A pesar de haber retirado la prueba de concepto a las pocas horas, esta no tardó en aparecer de nuevo subida por otros usuarios.

Como señala Josep Albors, director de Investigación y Concienciación de ESET España, esta nueva vulnerabilidad es bastante grave, ya que el exploit publicado puede utilizarse para comprometer totalmente el sistema. Se está haciendo bastante hincapié en cómo puede afectar a diferentes versiones de Windows Server, aunque las versiones de escritorio también se ven afectadas, según algunas fuentes.

Los principales objetivos de los atacantes que intenten explotar esta vulnerabilidad serían los controladores de dominio, ya que los usuarios autenticados de una red podrían utilizar el exploit publicado sin necesidad de realizar una escalada de privilegios. Esta es una situación especialmente peligrosa, puesto que los atacantes pueden infectar un equipo cualquiera de la red con alguno de los vectores de ataque conocidos y utilizados (fichero malicioso adjunto a un email, enlace con descarga a un malware, etc.) y, una vez se tiene acceso a un equipo de la red corporativa, utilizar PrintNightmare al controlador del dominio, obtener permisos de administrador y realizar cualquier acción maliciosa que se pretenda (robo de información, cifrado de los equipos, etc.).

Para mitigar el impacto de esta vulnerabilidad, la medida más drástica sería desactivar el servicio de la cola de impresión, pero esto no es práctico en empresas en las que sus empleados necesitan imprimir documentos de forma continua. Otras opciones para mitigar el impacto de esta vulnerabilidad es crear restricciones u optar por soluciones de seguridad avanzadas, como las de ESET, que disponen de un módulo específico para bloquear el uso de exploits. Sin embargo, la solución definitiva no aparecerá hasta que Microsoft publique el correspondiente parche de seguridad que solucione esta nueva vulnerabilidad.