NEGOCIOS

Deshabilite el administrador de trabajos de impresión de Windows para evitar ataques, dice Microsoft a los clientes

Deshabilite el administrador de trabajos de impresión de Windows para evitar ataques, dice Microsoft a los clientes

imágenes falsas

Microsoft se topó con otro obstáculo en sus esfuerzos por bloquear la cola de impresión de Windows, ya que el fabricante de software advirtió a los clientes el jueves que deshabilitaran el servicio para contener una nueva vulnerabilidad que ayuda a los atacantes a ejecutar código malicioso en máquinas con parches completos.

La vulnerabilidad es la tercera falla relacionada con la impresora en Windows que sale a la luz en las últimas cinco semanas. Un parche que Microsoft lanzó en junio para una falla de ejecución remota de código no solucionó una falla similar pero distinta denominada PrintNightmare, que también hizo posible que los atacantes ejecutaran código malicioso en máquinas completamente parcheadas. Microsoft lanzó un parche no programado para PrintNightmare, pero la solución no pudo evitar las vulnerabilidades en las máquinas que usaban ciertas configuraciones.

Traiga su propio controlador de impresora

El jueves, Microsoft advirtió sobre una nueva vulnerabilidad en el administrador de trabajos de impresión de Windows. La falla de escalada de privilegios, rastreada como CVE-2023-34481, permite a los piratas informáticos que ya tienen la capacidad de ejecutar código malicioso con derechos de sistema limitados para elevar esos derechos. La elevación permite que el código acceda a partes sensibles de Windows para que el malware pueda ejecutarse cada vez que se reinicia una máquina.

“Existe una vulnerabilidad de elevación de privilegios cuando el servicio Windows Print Spooler realiza incorrectamente operaciones de archivos privilegiados”, escribió Microsoft en el aviso del jueves. “Un atacante que explotara con éxito esta vulnerabilidad podría ejecutar código arbitrario con privilegios de SISTEMA. Un atacante podría entonces instalar programas; ver, cambiar o eliminar datos; o cree nuevas cuentas con todos los derechos de usuario”.

Artículo Recomendado:  Anatomía de un phishing de lanza tonto: golpear a los bibliotecarios para Zelle, efectivo de CashApp

Microsoft dijo que el atacante primero debe tener la capacidad de ejecutar código en el sistema de la víctima. El aviso califica las hazañas en estado salvaje como «más probables». Microsoft continúa recomendando a los clientes que instalen las actualizaciones de seguridad emitidas anteriormente. Un spooler de impresión es un software que gestiona el envío de trabajos a la impresora almacenando datos temporalmente en un búfer y procesando los trabajos secuencialmente o por prioridad de trabajo.

“La solución para esta vulnerabilidad es detener y deshabilitar el servicio Print Spooler”, dijo el aviso del jueves. Proporciona varios métodos que los clientes pueden usar para hacerlo.

La vulnerabilidad fue descubierta por Jacob Baines, un investigador de vulnerabilidades de la firma de seguridad Dragos, quien está programado para dar una charla titulada «Bring Your Own Print Driver Vulnerability» en la convención de hackers Defcon del próximo mes. El resumen ejecutivo de la presentación es:

¿Qué puede hacer, como atacante, cuando se encuentra como un usuario de Windows con privilegios bajos sin ruta al SISTEMA? ¡Instale un controlador de impresión vulnerable! En esta charla, aprenderá a introducir controladores de impresión vulnerables en un sistema con parches completos. Luego, usando tres ejemplos, aprenderá cómo usar los controladores vulnerables para escalar a SYSTEM”.

En un correo electrónico, Baines dijo que informó sobre la vulnerabilidad a Microsoft en junio y que no sabía por qué Microsoft publicó el aviso ahora.

“Me sorprendió el aviso porque fue muy abrupto y no estaba relacionado con la fecha límite que les di (7 de agosto), ni se lanzó con un parche”, escribió. «Una de esas dos cosas (divulgación pública por parte del investigador o disponibilidad de un parche) generalmente provoca un aviso público. No estoy seguro de qué los motivó a publicar el aviso sin un parche. Eso suele ir en contra del objetivo de un programa de divulgación. Pero por mi parte, no he revelado públicamente los detalles de la vulnerabilidad y no lo haré hasta el 7 de agosto. Quizás hayan visto los detalles publicados en otros lugares, pero yo no».

Microsoft dijo que está trabajando en un parche, pero no proporcionó un cronograma para su lanzamiento.

Baines, quien dijo que realizó la investigación fuera de sus responsabilidades en Dragos, describió la gravedad de la vulnerabilidad como «media».

«Tiene un puntaje CVSSv3 de 7.8 (o Alto), pero al final del día, es solo una escalada de privilegios locales», explicó. «En mi opinión, la vulnerabilidad en sí tiene algunas propiedades interesantes que hacen que valga la pena hablar de ella, pero todo el tiempo se encuentran nuevos problemas de escalada de privilegios locales en Windows».

Artículo Recomendado:  La ola de ataques de la cadena de suministro contra el código abierto que dura un año está empeorando

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba