Microsoft lanzó una alerta el viernes (2) sobre una falla de seguridad crítica detectada en todas las versiones de su sistema operativo. Es una vulnerabilidad llamada PrintNightmare que permite el acceso completo a la computadora por parte de personas malintencionadas.
Ubicada, como su nombre lo indica, en Windows Print Spooler, la falla fue publicitada indebidamente por investigadores de la compañía de seguridad china Sangfor. La compañía publicó recientemente el PoC, que es una demostración de la posibilidad de validar el exploit, sin contactar a Microsoft.
Pensando que el propietario de Windows ya había solucionado el problema, los investigadores rápidamente borraron la “prueba de concepto”, pero ya era demasiado tarde. El código de prueba se había filtrado a GitHub, una plataforma de alojamiento de código fuente abierta a todos los programadores o usuarios que trabajan en proyectos en todo el mundo.
https://twitter.com/edwardzpeng/status/1409810304091889669?ref_src=twsrc%5Etfw%7Ctwcamp%5Etweetembed%7Ctwterm%5E1409810304091889669%7Ctwgr%5E%7Ctwcon%5Es1_&ref_url=https%3A%2F%2Fwww.tecmundo.com.br%2Fseguranca%2F220468-windows-falha-printnightmare-expoe-versoes-sistema.htm
Eliminamos el POC de PrintNightmare. Para mitigar esta vulnerabilidad, actualice Windows a la última versión o desactive el servicio Spooler. Para obtener más RCE y LPE en Spooler, permanezca atento y espere nuestra charla Blackhat. – Dijo en Tweet
Los riesgos de PrintNightmare Failure
Alertada el martes 29 de junio, Microsoft aún tardó un poco en emitir la alerta para evitar una posible vulnerabilidad de “día cero”: un ataque de piratas informáticos orquestado el mismo día en que se descubre una debilidad del sistema, antes de que el proveedor tenga tiempo de realizar una arreglo disponible. Según la empresa, la vulnerabilidad terminó siendo utilizada por agentes malintencionados.
Las fallas en Print Spooler, el componente responsable de comunicarse con las impresoras en el sistema operativo, son particularmente peligrosas. La instancia trabaja al más alto nivel de privilegios, lo que permite la ejecución remota de código (RCE), y la posterior instalación de programas, acceder y modificar datos, así como crear nuevas cuentas con derechos de administrador.
Microsoft ya está “corriendo” para lanzar un parche, pero hasta que la actualización esté disponible, la compañía recomienda que los usuarios deshabiliten la cola de impresión de Windows, o la impresión entrante remota, deshabilitando temporalmente la Política de grupo.
Consulte más detalles sobre la vulnerabilidad y cómo prevenir ataques en el sitio web de seguridad de Microsoft.
Fuente: Tecmundo
