Actualización: Microsoft ha publicado información acerca de esta nueva vulnerabilidad y medidas a adoptar para mitigar sus efectos.
Si trabajas como administrador de sistemas o en algún otro ámbito relacionado con la ciberseguridad seguramente estés al tanto de la vulnerabilidad PrintNightmare y de la publicación de una prueba de concepto que permite explotarla. En caso de que no sepas nada aún acerca de esta vulnerabilidad y de por qué es importante tomar medidas para mitigarla, a continuación te damos toda la información disponible.
¿Qué ha pasado?
En los boletines de seguridad de junio Microsoft solucionó una vulnerabilidad (CVE-2021-1675) en el servicio de la cola de impresión de Windows, servicio que se encarga de gestionar las tareas de impresión. Inicialmente, esta vulnerabilidad fue descrita como de importancia elevada, pero el pasado 21 de junio, Microsoft elevó su categoría hasta considerarla como crítica ya que existía la posibilidad de que un atacante la explotase para ejecutar código de forma remota.
Para demostrar la gravedad de este agujero de seguridad, investigadores de una empresa de seguridad china publicaron un tweet el pasado 28 de junio donde se mostraba cómo se podía conseguir tanto la ejecución remota de código como una escalada de privilegios local. Pensando que se trataba de la misma vulnerabilidad, investigadores de otra empresa de seguridad china publicaron su informe donde analizaban este agujero de seguridad acompañado de un exploit como prueba de concepto, bautizando a la vulnerabilidad como PrintNightmare.
Sin embargo, según apuntan algunos expertos, PrintNightmare no sería la misma vulnerabilidad que Microsoft solucionó en sus boletines de seguridad el pasado 8 de junio, sino que estaríamos ante un 0-day completamente nuevo en la cola de impresión de Windows para el cual aún no se ha publicado su correspondiente parche de seguridad. Esta situación se ve agravada debido a que, a pesar de haber retirado la prueba de concepto a las pocas horas, esta no tardó en aparecer de nuevo subida por otros usuarios.
Gravedad de la vulnerabilidad
Por desgracia, esta nueva vulnerabilidad es bastante grave, ya que el exploit publicado puede utilizarse para comprometer totalmente el sistema. Se está haciendo bastante hincapié en cómo puede afectar a diferentes versiones de Windows Server (2004, 2008, 2008 R2, 2012, 2012 R2, 2016, 2019, 20H2), aunque las versiones de escritorio también se ven afectadas (Windows 7, 8.1, RT 8.1, 10) según algunas fuentes.
Los principales objetivos de los atacantes que intenten explotar esta vulnerabilidad serían los controladores de dominio, ya que los usuarios autenticados de una red podrían utilizar el exploit publicado sin necesidad de realizar previamente una escalada de privilegios. Esta es una situación especialmente peligrosa, puesto que los atacantes pueden infectar un equipo cualquiera de la red con alguno de los vectores de ataque sobradamente conocidos y utilizados (fichero malicioso adjunto a un email, enlace con descarga a un malware, etc.) y, una vez se tiene acceso a un equipo de la red corporativa, utilizar PrintNightmare al controlador del dominio, obtener permisos de administrador y realizar cualquier acción maliciosa que se pretenda (robo de información, cifrado de los equipos, etc.).
Si echamos la vista atrás, recordaremos que Stuxnet, el malware que afectó al programa nuclear iraní en 2010, también se aprovechaba de una vulnerabilidad en el servicio de la cola de impresión para alcanzar su objetivo. En los últimos meses Microsoft ha solucionado hasta tres fallos que afectaban a este servicio, por lo que se trata de un problema recurrente que, en ocasiones como esta, puede llegar a comprometer la seguridad de los equipos de empresas de todos los tamaños.
Medidas a adoptar
Es normal que muchos se estén preguntando qué medidas se pueden adoptar para mitigar el impacto de esta vulnerabilidad, puesto que el parche lanzado en junio no la soluciona. La medida mas drástica sería desactivar el servicio de la cola de impresión, pero esto no es práctico en empresas en las que sus empleados necesitan imprimir documentos de forma continua.
Por ese motivo, no han tardado en aparecer tanto opciones para mitigar el impacto de esta vulnerabilidad sin necesidad de desactivar completamente el servicio afectado, por ejemplo, creando restricciones. También se debe tener en cuenta que soluciones de seguridad avanzadas como las de ESET disponen de un módulo específico para, precisamente, bloquear el uso de exploits, tal y como sucedió con WannaCry en 2017.
Sin embargo, la solución definitiva no aparecerá hasta que Microsoft publique el correspondiente parche de seguridad que solucione esta nueva vulnerabilidad. Todavía no está claro si este parche se publicará en su ciclo mensual el segundo martes de mes o si se publicará antes debido a su gravedad. En cualquier caso, su instalación será muy recomendable una vez se encuentre disponible.
Conclusión
Nos encontramos, una vez más, ante una vulnerabilidad que puede resultar especialmente peligrosa una vez los atacantes empiecen a usarla en sus ataques, tal y como ha sucedido en muchas ocasiones anteriores. Por ese motivo es importante aplicar y configurar las medidas y soluciones de seguridad adecuadas para mitigar el posible impacto en nuestra red corporativa e instalar el parche tan pronto como este se encuentre disponible.