Fecha de publicación: Vie, 13/08/2021 - 11:17

Descripción

Un investigador de seguridad reveló en junio sobre una vulnerabilidad de cola de impresión de Windows de día cero conocida como PrintNightmare (CVE-2021-34527) que permitía la ejecución remota de código y elevación de privilegios.

Si bien Microsoft lanzo una actualización de seguridad para corregir la vulnerabilidad, los investigadores descubrieron rápidamente formas de omitir el parche de seguridad bajo ciertas condiciones.

La vulnerabilidad revelada por el investigador Benjamin Delpy aún permite a los actores de amenazas obtener rápidamente privilegios del sistema simplemente conectándose a un servidor de impresión remoto.

Microsoft emitió un aviso sobre una vulnerabilidad de Windows Print Spooler rastreada como CVE-2021-36958.

Recurso afectado

Proceso de impresión en Windows.

Mitigación

Como cualquiera puede abusar de este servidor de impresión remoto en Internet para obtener privilegios de nivel de SISTEMA en un dispositivo Windows, Delpy ha ofrecido varias formas de mitigar la vulnerabilidad.

Estos métodos se describen en un aviso de CERT escrito por Will Dormann, un analista de vulnerabilidades del CERT/CC.

1. La primera opción es deshabilitar la cola de impresión de Windows.

La forma mas extrema de prevenir todas las vulnerabilidades de PrintNightmare es deshabilitar la cola de impresión de Windows mediante los siguientes comandos:

Stop-Service -Name Spooler -Force

Set-Service -Name Spooler -StartupType Disabled

Sin embargo esta mitigación evitará que la computadora pueda imprimir.

2. La segunda opción es bloquear el trafico RPC y SMB en el límite de su red

Como el exploit público de Delpy utiliza un servidor de impresión remoto, debe bloquear el tráfico RPC Endpoint Mapper (135/tcp) y SMB (139/tcp y 445/tcp) en el límite de su red.

Sin embargo, Dormann advierte que bloquear estos protocolos puede hacer que la funcionalidad existente deje de funcionar como se esperaba.

3. La tercera opción es configurar PackagePointAndPrintServerList.

La mejor manera de evitar que un servidor remoto aproveche esta vulnerabilidad es restringir la funcionalidad de apuntar e imprimir a una lista de servidores aprobados usando la política de grupo “Empaquetar e imprimir – Servidores aprobados”.

Esta política evita que los usuarios no administrativos instale controladores de impresión utilizando Point and Print a menos que el servidor de impresión esté en la lista de aprobados.

Para habilitar esta política inicie el editor de políticas de grupos (gpedit.msc) y vaya a User Configuration > Adminstrative Templates > Control Panel > Printers > Package Point and Print – Approved Servers.

Luego habilite la política e ingrese la lista de servidores que desea permitir usar como servidor de impresión y luego presione OK para habilitar la política. Si no tiene un servidor de impresión en su red, puede ingresar un nombre de servidor falso para habilitar la función.

El uso de esta política de grupo proporcionará la mejor protección contra el exploit conocido, pero no evitará que un actor de amenazas se apodere de un servidor de impresión permitido con controladores maliciosos.

Pruebas de concepto

El usuario Benjamin Delpy (@gentilkiwi) en su cuenta de twitter abrió un hilo de conversación sobre la vulnerabilidad que él encontró, en donde muestra como realizar la explotación de la vulnerabilidad que la puede ver en vimeo.

Recomendación

Utilice la política de “Empaquetar e imprimir – Servidores aprobados” para no tener complicaciones a futuro con este tipo de vulnerabilidad que esta siendo muy complicado de mitigar para Microsoft.

Indicador CVE

CVE-2021- 36958, es una vulnerabilidad de ejecución remota de código cuando el servicio de cola de impresión de Windows realiza incorrectamente operaciones con archivos privilegiados. Un atacante que aprovechara con éxito esta vulnerabilidad podría ejecutar código arbitrario con privilegios de sistema. Entonces, un atacante podría instalar programas; ver, cambiar o eliminar datos; o cree nuevas cuentas con todos los derechos de usuario.

Referencias

Windows Print Spooler Remote Code Execution Vulnerability

Microsoft confirms another Windows print spooler zero-day bug