Microsoft ha confirmado la existencia de un 'bug' en Windows que permite ejecutar código con permisos de administrador en el sistema, después de que unos investigadores de seguridad lo hiciesen público por equivocación.
Esta nueva vulnerabilidad es conocida como PrintNightmare y se considera 'grave' al permitir abrir la puerta a servidores de dominio con Windows a posibles atacantes, pudiéndola explotar al máximo para ejecutar malwares sin ningún tipo de limitaciones.
Esta vulnerabilidad, recogida en su web con el código CVE-2021-34527, permite a un atacante la ejecución de código remoto con elevación de privilegios del sistema, lo que le permitiría no solo instalar programas, sino también acceder a datos, modificarlos o eliminarlos, e incluso crear nuevas cuentas de usuario con todos los privilegios
A principios del mes de junio, Microsoft publicó un parche para Windows que solucionaba un problema relacionado con el servicio de cola de impresión, gracias a una investigación de un trío de especialistas chinos.
Varias semanas después, el 28 de junio, la empresa QiAnXin anunció que había encontrado una manera de aprovechar esta vulnerabilidad para conseguir un escalado de privilegios y ejecución remota de código en sistemas Windows. Para demostrarlo, publicó un vídeo en el que se muestra el ataque en funcionamiento, al que llamó PrintNightmare.
Recently, we found right approaches to exploit #CVE-2021-1675 successfully, both #LPE and #RCE. It is interesting that the vulnerability was classified into #LPE only by Microsoft, however, it was changed into Remote Code Execution recently.https://t.co/PQO3B12hoE pic.twitter.com/kbYknK9fBw
— RedDrip Team (@RedDrip7) June 28, 2021
Más tarde, el equipo de ciberseguridad de Sangfor publicó un estudio técnico basado en esta vulnerabilidad, incluyendo una prueba de concepto que demostraba el funcionamiento.
Solo hay un problema: la vulnerabilidad que estaba usando en realidad era diferente a la descubierta y parcheada a principios de junio. La confusión viene porque ambas afectan a la cola de impresión, pero el parche lanzado por Microsoft no es capaz de bloquear los ataques usando el método PrintNightmare.
Microsoft admite que el código que contiene la vulnerabilidad está en todas las versiones de Windows, pero no está claro si es explotable más allá de las versiones de servidor de Windows. También ha avisado a administradores de sistema que usan Microsoft 365 Defender que la vulnerabilidad ya está siendo usada de manera activa por atacantes.
Microsoft has assigned CVE-2021-34527 to the remote code execution vulnerability that affects Windows Print Spooler. Get more info here: https://t.co/OarPvNCX7O
— Microsoft Security Intelligence (@MsftSecIntel) July 2, 2021
Por el momento, los expertos llaman a poner en práctica una serie de soluciones de mitigación como deshabilitar el servicio de cola de impresión (Print Spooler) de Windows y "deshabilitar el servicio Windows Print Spooler en los controladores de dominio y en los sistemas que no imprimen".
Esta solución preventiva se aconseja a todos los usuarios, ya sean empresas o personas en sus casas.
Apúntate a nuestra newsletter y recibe en tu correo las últimas noticias sobre tecnología.
![Lenovo -LEGION- Savior Y480 [$47.73] - FRESH IN](https://static.shareasale.com/image/18925/02528C6007A114FCA3181020DB029F8E.jpg)
No hay comentarios:
Publicar un comentario