El parche de Microsoft para corregir la vulneravilidad PrintNightmare no funciona; evite actualizar Windows
La vulnerabilidad PrintNightmare ha resultado ser un gran problema para los usuarios de sistemas Windows y la comunidad de la ciberseguridad. Este martes, Microsoft parecía al fin haber abordado esta falla con el lanzamiento de la actualización KB5004945, aunque las cosas podrían no resultar como se esperaba.
Apenas unas horas después del lanzamiento de esta actualización, los investigadores Matthew Hickey y Will Dormann descubrieron que la compañía solo corrigió el componente de ejecución remota de código existente en PrintNightmare. Esto significa que los actores de amenazas podrían seguir abusando del error local de escalada de privilegios relacionado con esta falla para obtener acceso SYSTEM a las implementaciones vulnerables, la mayoría versiones anteriores de Windows.
The Microsoft fix released for recent #PrintNightmare vulnerability addresses the remote vector - however the LPE variations still function. These work out of the box on Windows 7, 8, 8.1, 2008 and 2012 but require Point&Print configured for Windows 2016,2019,10 & 11(?). 🤦♂️ https://t.co/PRO3p99CFo
— Hacker Fantastic (@hackerfantastic) July 6, 2021
Por si no fuera suficiente, con el paso del tiempo más investigadores independientes y firmas de seguridad descubrieron que incluso es posible modificar los exploits conocidos para esta falla con el fin de completar los dos ataques de forma exitosa en las versiones actualizadas.
Dealing with strings & filenames is hard😉
— 🥝 Benjamin Delpy (@gentilkiwi) July 7, 2021
New function in #mimikatz 🥝to normalize filenames (bypassing checks by using UNC instead of \\server\share format)
So a RCE (and LPE) with #printnightmare on a fully patched server, with Point & Print enabled
> https://t.co/Wzb5GAfWfd pic.twitter.com/HTDf004N7r
Uno de los reportes menciona que, para esquivar el parche y concretar los dos ataques, solo se requiere habilitar la política del sistema Windows conocida como “Point and Print Restrictions”, además de desactivar la opción para mostrar una alerta de seguridad al instalar controladores para una nueva conexión.
Al respecto, Hickey sostiene que la mejor opción para prevenir un ataque sigue siendo deshabilitar el servicio Print Spooler, lo que mantendrá protegidas las implementaciones del sistema Windows vulnerables hasta que la compañía anuncie el lanzamiento de un parche de seguridad funcional.
Finalmente, los expertos recomiendan evitar la más reciente actualización de Microsoft en caso de que los usuarios hayan recurrido a otras medidas de mitigación contra PrintNightmare.
Finalmente, los expertos recomiendan evitar la más reciente actualización de Microsoft en caso de que los usuarios hayan recurrido a otras medidas de mitigación contra PrintNightmare: “Si está usando otros parches de seguridad, no aplique el parche de seguridad de Microsoft, ya que esto modificaría el archivo ‘localspl.dll’, inhabilitando otras medidas de seguridad”, concluye Hickey.
