Hace unos días informábamos del fallo crítico sin parchear del que advirtió Microsoft a los usuarios de Windows. La vulnerabilidad, de nombre PrintNightmare (pesadilla de impresión en inglés) ya ha sido parcheada y estaba relacionada con el proceso de impresión. PrintNightmare puede permitir a un atacante ejecutar código como sistema operativo en cualquier sistema Windows, incluidos los controladores de dominio. Esto significa que un ataque exitoso puede dar al atacante el control total de un sistema vulnerable. Si el sistema fuera un controlador de dominio, tendría el control total de la red, incluyendo la capacidad de crear nuevas cuentas de nivel administrativo en los dominios. Debido a esto, esta vulnerabilidad podría ser utilizada por los atacantes para ataques de tipo APT.
A pesar del parcheado sigue siendo posible que se produzcan ataques
El fallo ha tenido graves consecuencias para el ritmo de trabajo y las rutinas de muchas empresas, incluidas algunas de las más importantes del IBEX, como ha podido saber Escudo Digital. Se ha prohibido durante varios días que se imprimiera nada, y es probable que se sigua haciendo. Según informa el blog Protegerse.com , pese a que la vulnerabilidad haya sido parcheada de forma urgente mediante un protocolo de emergencia para proteger lo que no se cubrió en un principio, es decir Windows 10 1607, Windows Server 2016 y Windows Server 2012. Según publica dicho blog "solo solucionan la ejecución remota de código", de modo que es factible para un atacante el escalado de privilegios en un sistema vulnerable de forma local. Conacceso físico a un sistema, aún a pesar del parche urgente, es posible usar la vulnerabilidad PrintNightmare.
El fallo se produjo después de que los investigadores de la firma de ciberseguridad Sangfor publicaron en PoC en lo que parece haber sido un error o falta de comunicación entre los investigadores y la empresa fundada por Bill Gates.El código de prueba fue eliminado rápidamente, pero esto no impidió que se difundiera, ya que antes de su retirada llegó a GitHub.
Sangfor solo pretenída mostrar varias vulnerabilidades de día cero de Windows Print Spooler, y pensaron que Microsoft ya los había solucionado
El plan de Sangfor era mostrar varias vulnerabilidades de día cero en la conferencia anual de Black Hat sobre el servicio de Windows Print Spooler. Los investigadores pensaban que Microsoft había parcheado dicho fallo, ya que la compañía había publicado parches para otro error correspondiente también a Windows Print Spooler. No fue así.
Más de uno, tras saber que la vulnerabilidad aún puede hacer daño, en algunos casos, especialmente si tiene las versiones más antiguas de Windows, seguirá las indicaciones de Jan Vojtěšek, investigador de malware de Avast quien manifestó: “Lamentablemente, incluso los usuarios comunes corren el riesgo de ser víctimas y por eso recomendamos que apliquen el parche tan pronto como esté disponible. Aquellos que quieran tomar precauciones adicionales pueden desactivar el servicio de cola de impresión mientras tanto. Esto puede hacerse abriendo la pestaña Servicios en la Configuración del Sistema, desmarcando Print Spooler, haciendo clic en Aceptar y reiniciando el ordenador. Sin embargo, esto también podría limitar la capacidad de los usuarios para utilizar la impresora”.