CARGANDO

Escribe para buscar

PrintNightmare, no me toques la cola!🤭

Nuestro amigo Sysbeards hablo en este post de un problema con una de las soluciones referentes a la vulnerabilidad PrintNightmare. En esta entrada trataré de explicar brevemente de que se trata y las posibles soluciones.

¿Qué es PrintNightmare?

De forma rápida y directa, definirla como una vulnerabilidad crítica en el servicio de impresión o cola de impresión de Windows.

Pero ¿Por qué toda esta criticidad y alerta? Expliquemos un poco el origen de todo…

La raíz del problema reside en una función dentro del servicio, concretamente RpAddPrinterDriverEx(). Como se puede intuir, la finalidad del servicio es la instalación de una impresora de forma local o remota. ¿El problema? No se restringe el acceso a la misma, es decir, cualquier usuario autenticado o no autenticado puede hacer uso de la función.

Yyyyyyy claro, si se puede instalar una impresora, también se puede instalar un controlador no firmado, yyyyy… ¡¡¡ejecutar código malicioso remotamente!!!

Vamos, hablando claro, es posible hacerse con el control del sistema al completo 😊

Sistemas afectados

Este es otro de los puntos que dan valor a la criticidad de la vulnerabilidad. Los sistemas Windows afectados son TODOS.

Actualmente, el servicio de cola de impresión viene activo en todos los sistemas de usuario y servidor por defecto, y ninguno es una excepción.

Todos los sistemas Windows con servicio de cola de impresión están afectados.

Además, he de añadir que la PoC donde se explica cómo ejecutar la vulnerabilidad fue liberada al uso y disfrute de Internet. Una fiesta…

Hablemos de soluciones

Podríamos decir que la solución es el principal problema. Suena paradójico, pero es así. Según salió la vulnerabilidad, los señores de Microsoft se pusieron a trabajar y sacaron una actualización que proponía una solución. Lástima que esa actualización no corrigiera el problema, o al menos no de forma completa… Ya que la vulnerabilidad CVE-2021-34527, una de las implicadas y de mayor riesgo, seguía activa.

Seguidamente a estas updates, en el “Patch Tuesday” de agosto, Microsoft incluyo soluciones a 44 vulnerabilidades, entre las que se incluyen específicas para nuestra querida PrintNightmare.

¿Se arreglo definitivamente? Ñeehhh… y por esa expresión entended, que no del todo. Pero si se arregló lo más crítico. Aún queda algún problema en la ejecución de código localmente, pero se podría catalogar como más “leve”.

Otras soluciones

En este tiempo, y dado que Microsoft no daba señales de vida, han ido saliendo varias soluciones alternativas que os apunto:

  • Deshabilitar el servicio de cola de impresión. Esto es lo más radical, pero también lo que mejor evita la vulnerabilidad. A lo mejor en equipos de usuario no es viable, pero en servidores ya debería estar hecho 😉
  • Evitar la impresión remota desde GPO. Desde el editor de directivas de grupo local o mediante políticas de dominio, en la ruta,

Configuración del equipo / Plantillas administrativas / Impresoras

Desactivar la política «Permitir que la cola de impresión acepte conexiones de cliente:«, para bloquear ataques remotos.

  • Denegar el acceso al directorio de drivers. La vulnerabilidad se produce al dejar un controlador en la carpeta,

    C:\Windows\System32\spool\drivers

    Denegando la modificación del usuario «SYSTEM» a esa ruta, impedimos que se dejen DLLs maliciosas.

  • Parches no oficiales. Los compañeros de 0patch sacaron unos parches que si corregían los problemas. Solo hay un «pero», las actualizaciones de Windows “rompen” este parche por lo que habrá que deshabilitarlas momentáneamente. Aquí se pueden encontrar los parches:

https://blog.0patch.com/2021/07/free-micropatches-for-printnightmare.html

Recomendaciones y opinión

Desde hace tiempo, Microsoft tiene un problema con el servicio de Cola de impresión en Windows, esto no es nuevo. De lo que si nos estamos dando cuenta es de la enorme importancia que tiene plantear soluciones reales a este tema. No vale con la implementación de parches, es necesario un nuevo planteamiento, ¿Quizá Windows 11?

Para esta vulnerabilidad, recomiendo que trabajéis con las ultimas actualizaciones de Windows (que parece que resuelven el problema) y, en aquellos equipos donde no sea necesario imprimir, por ejemplo en servidores, deshabilitar el servicio completamente.

close

Ah, hola 👋
Un placer conocerte.

Veo que te gusta la tecnología, ¿quieres que te mandemos una newsletter semanal?.

¡No enviamos spam!. yo también lo odio a muerte!.

Tags:

Deja un Comentario

Your email address will not be published. Required fields are marked *