Un par de meses después de descubrirse la vulnerabilidad PrintNightmare y varios intentos de solucionarla por parte de Microsoft (publicando para ello unos cuantos parches de seguridad durante las últimas semanas) los delincuentes han empezado a aprovechar este fallo de seguridad en la cola de impresión de Windows para infectar a sus víctimas con ransomware.
Más posibilidades para los operadores de ransomware
Desde el momento en el que se publicaron los detalles de esta vulnerabilidad varios investigadores alertaron del riesgo que suponía en aquellos sistemas que no aplicaran los parches de seguridad que se han ido lanzando desde entonces o las mitigaciones recomendadas por Microsoft.
Así pues, parece que los delincuentes que operan con algunas familias de ransomware han empezado a hacer uso de esta vulnerabilidad y han añadido los exploits que la aprovechan a su arsenal. De esta forma, los atacantes consiguen automatizar y facilitar el compromiso de sistemas críticos dentro de una organización como pueden ser los servidores Windows.
Uno de los primeros intentos de los grupos de ransomware de aprovechar esta vulnerabilidad se detectó a mediados del pasado mes de julio cuando investigadores de CrowdStrike detectaron intentos de explotarla por parte de ransomware Magniber. Este malware se encuentra activo desde octubre de 2017, habiendo alcanzado picos de actividad en las últimas semanas, y se centra en víctimas localizadas en países asiáticos como China, Corea del Sur, Singapur o Malasia, entre otros.
Durante los últimos días también se ha observado como otra familia de ransomware conocida como The Vice Society está aprovechando la vulnerabilidad PrintNightmare para realizar movimientos laterales en las redes corporativas de sus víctimas. En esta ocasión, fueron los investigadores de Cisco Talos quienes observaron a los operadores de este ransomware dos de los fallos de seguridad asociados a esta vulnerabilidad.
Además de estos dos casos, los manuales que se entregan a los afiliados del ransomware Conti que se filtraron recientemente y también mencionan el aprovechamiento de esta vulnerabilidad por lo que es de esperar que los operadores detrás de esta amenaza la exploten en breve, si no lo están haciendo ya.
Otras amenazas también podrían aprovechar esta vulnerabilidad
Los ejemplos que hemos revisado podrían ser solo la punta del iceberg ya que esta vulnerabilidad aun no se encuentra plenamente solucionada por Microsoft y puede seguir siendo explotada por atacantes incluso en sistemas parcheados bajo ciertas circunstancias. Por ese motivo, no sería de extrañar que nuevas amenazas intentasen aprovecharla en las próximas semanas.
Sabemos por experiencia que los delincuentes pueden seguir utilizando un agujero de seguridad durante tanto tiempo como siga siendo efectiva. Si revisamos el listado de las vulnerabilidades más explotadas durante los últimos dos años, observamos que aun hay alguna en los primeros puestos que cuenta con cuatro años de antigüedad.
Este hecho demuestra que la aplicación de los parches de seguridad aun deja mucho que desear en algunos casos, lo que facilita el trabajo de los delincuentes ya que no tienen que invertir en desarrollar o utilizar nuevos exploits si pueden seguir usando los que tan buenos resultados les han dado durante años. Recordemos que la reutilización de técnicas y tácticas conocidas es algo común para la mayoría de ciberdelincuentes ya que estas suelen seguir teniendo un elevado porcentaje de éxito durante bastante tiempo.
Conclusión
A pesar de ser una vulnerabilidad para la cual no existe todavía una solución totalmente efectiva, la publicación de numerosos parches y recomendaciones durante las últimas semanas pueden mitigar o incluso bloquear el impacto de aquellos ataques que se aprovechen de los exploits desarrollados para ella. Una correcta política de aplicación de actualizaciones, unido a soluciones de seguridad que sean capaces de detectar y bloquear el uso de exploits pueden significar la diferencia entre tener una red segura y otra comprometida por uno de estos atacantes.