Treo Blog

En este espacio puedes explorar las últimas tendencias y noticias en tecnología, seguridad informática e infraestructura TI.

  • Juanita Villegas

PrintNightmare: esto es lo que necesita saber y la cobertura de Talos

Escrito por: Blog Cisco Talos

Durante las últimas semanas, se ha debatido mucho sobre una vulnerabilidad particular de escalada de privilegios en Windows que afecta a la cola de impresión, denominada PrintNightmare. La vulnerabilidad ( CVE-2021-1675 / CVE-2021-34527 ) ahora se ha parcheado varias veces, pero se cree que aún se puede explotar .


La vulnerabilidad en sí es un error de escalada de privilegios que se encuentra en el servicio de cola de impresión en plataformas Windows. Se creía que permitía a los usuarios autenticados lograr privilegios escalados, incluidos los derechos de administrador. La gravedad de la vulnerabilidad se complicó por el hecho de que, si se activa, la vulnerabilidad podría afectar a los controladores de dominio en las redes empresariales. Para empeorar las cosas, esta vulnerabilidad de escalada de privilegios se puede utilizar para lograr la ejecución remota de código. Esto se puede hacer usando la cola de impresión para cargar controladores que, hasta el parche más reciente, incluían controladores firmados y no firmados.


El parche más reciente lanzado por Microsoft incluyó algunas protecciones adicionales.. Estas protecciones incluyen restringir la capacidad de los usuarios no administrativos para instalar controladores sin firmar utilizando el administrador de trabajos de impresión. En el futuro, si se intenta instalar controladores sin firmar, se requerirán credenciales administrativas. Se recomienda a los administradores que instalen el parche, a pesar de que esté incompleto, para asegurarse de que tengan la mayor protección posible y puedan implementar las mitigaciones descritas anteriormente.

Cronología 8 de junio de 2021: Microsoft parchea una vulnerabilidad de escalada de privilegios en el servicio de cola de impresión ( CVE-2021-1675 ). 21 de junio de 2021: Microsoft cambia la clasificación de la vulnerabilidad a la ejecución remota de código (RCE). 29 de junio de 2021: los investigadores publican y posteriormente retiran el código de prueba de concepto (PoC) que demuestra la capacidad de explotación de CVE-2021-1675. 30 de junio de 2021: se confirma que el parche lanzado a principios de este mes no corrige completamente la vulnerabilidad. 2 de julio de 2021: Microsoft asigna un nuevo CVE para lo que llamó una vulnerabilidad "similar pero distinta" en el servicio de cola de impresión ( CVE-2021-34527 ). 6 de julio de 2021: Microsoft lanza un parche fuera de banda para abordar CVE-2021-34527 y proporciona protecciones adicionales para defenderse del exploit. 7 de julio de 2021: se confirma que el nuevo parche aplicó una solución incompleta y se puede omitir.



Fuente: https://blog.talosintelligence.com/2021/07/printnightmare-coverage.html

2 vistas0 comentarios