Microsoft recomienda a los usuarios que deshabiliten la cola de impresión para evitar la explotación

Servidor de impresión de Microsoft destacado

Con la cantidad de exploits surgiendo alrededor de Windows 10, no es de extrañar que Microsoft publique una actualización con Windows 11 a finales de este año. Las hazañas recientes han estado relacionadas con la impresión. Microsoft ahora recomienda que los usuarios desactiven Windows Print Spooler después de que se descubrió el tercer exploit en cinco semanas.

Descubrimiento de la vulnerabilidad relacionada con la impresión más reciente

Jacob Barnes, un investigador de vulnerabilidades de la firma de seguridad Dragos, descubrió el exploit más reciente relacionado con la impresión. Esta falla se refiere a una vulnerabilidad en el servidor de impresión de Windows.

Un resumen ejecutivo de una charla que Barnes dará sobre las vulnerabilidades de los controladores de impresión explica: “¿Qué puede hacer, como atacante, cuando se encuentra como un usuario de Windows con pocos privilegios y sin ruta al SISTEMA? ¡Instale un controlador de impresión vulnerable! En esta charla, aprenderá cómo introducir controladores de impresión vulnerables en un sistema completamente parcheado. Luego, con tres ejemplos, aprenderá a usar los controladores vulnerables para escalar a SYSTEM «.

Microsoft Print Server Rojo

Además, declaró cómo calificó la gravedad de la hazaña. «Tiene una puntuación CVSSv3 de 7.8 (o alta), pero al final del día, es solo una escalada de privilegios local», dijo Barnes. «En mi opinión, la vulnerabilidad en sí misma tiene algunas propiedades interesantes que la hacen digna de una charla, pero todo el tiempo se encuentran nuevos problemas de escalada de privilegios locales en Windows».

Recomendación de Microsoft para deshabilitar la cola de impresión

Microsoft emitió un parche para una falla similar que llevaba el terrible nombre de PringNightmare, pero no pudo solucionar la falla. Este exploit permitió a los atacantes ejecutar código malicioso en máquinas que habían recibido el parche fallido de Microsoft.

A fines de la semana pasada, Microsoft notificó a los usuarios a través de una publicación de blog sobre un exploit que ataca a Windows Print Spooler. Con la etiqueta CVE-2021-34481, permite a los piratas informáticos con una capacidad existente para ejecutar código malicioso elevar su acceso. Esto permite que el malware se ejecute durante cada reinicio. Esta es la hazaña que Barnes descubrió en junio.

Microsoft Print Server Epson

Explicó en un correo electrónico que no tiene claro por qué la empresa esperó hasta ahora para emitir una recomendación al respecto. “Me sorprendió el aviso porque fue muy abrupto y no estaba relacionado con el plazo que les di (el 7 de agosto), ni fue lanzado con parche”, escribió.

“Una de esas dos cosas (la divulgación pública del investigador o la disponibilidad de un parche) generalmente genera un aviso público. No estoy seguro de qué los motivó a publicar el aviso sin un parche. Eso suele ir en contra del objetivo de un programa de divulgación. Pero por mi parte, no he revelado públicamente los detalles de la vulnerabilidad y no lo haré hasta el 7 de agosto. Quizás hayan visto los detalles publicados en otro lugar, pero yo no ”.

Microsoft escribió en su divulgación: «Existe una vulnerabilidad de elevación de privilegios cuando el servicio Windows Print Spooler realiza incorrectamente operaciones de archivos privilegiados». Explicó además: “Un atacante que aproveche con éxito esta vulnerabilidad podría ejecutar código arbitrario con privilegios de SISTEMA. Entonces, un atacante podría instalar programas; ver, cambiar o eliminar datos; o crear nuevas cuentas con todos los derechos de usuario «.

Impresión de cola de impresión de Microsoft

La publicación del blog señala que un atacante primero debe tener la capacidad de ejecutar código en un sistema en particular para usar el exploit. También aconseja que los usuarios instalen todas las actualizaciones anteriores.

También aconsejado por Microsoft es un solución alterna para deshabilitar el servidor de impresión de Windows. Los usuarios primero deben determinar si la cola de impresión se está ejecutando y luego deshabilitarla si lo está. En particular, si los usuarios deshabilitan la cola de impresión como recomienda Microsoft, les impide imprimir de forma local o remota, por lo que de ninguna manera es una gran solución.

Se está trabajando en un nuevo parche para este exploit en Microsoft, pero en este momento, la única solución conocida es deshabilitar el servidor de impresión.

Siga leyendo para conocer otros problemas conocidos con las actualizaciones de Windows y cómo solucionarlos y 10 razones para actualizar a Windows 11 cuando esté disponible.