– Los investigadores afirman haber podido omitir la actualización del parche de emergencia KB5004945 de Microsoft Windows para la vulnerabilidad de PrintNightmare y lograr la ejecución remota de código y la escalada de privilegios locales, incluso cuando se instaló la actualización.
Anteriormente, Microsoft lanzó la actualización de seguridad de emergencia KB5004945 fuera de banda que supuestamente corrige la vulnerabilidad PrintNightmare que los investigadores revelaron accidentalmente el mes pasado.
Después de que se lanzó la actualización, el investigador de seguridad Matthew Hickey, cofundador de Hacker House y Will Dorman, analista de vulnerabilidades de CERT/CC, dijeron que Microsoft solo solucionó el componente de ejecución remota de código de la vulnerabilidad.
Sin embargo, el malware y los piratas informáticos que propagan la amenaza aún pueden usar el componente de escalada de privilegios local para obtener privilegios del sistema en dispositivos vulnerables, solo si la Política Point & Print está habilitada.
La solución de Microsoft lanzada para la reciente vulnerabilidad #PrintNightmare aborda el vector remoto; sin embargo, las variaciones de LPE aún funcionan. Estos funcionan de forma inmediata en Windows 7, 8, 8.1, 2008 y 2012, pero requieren Point&Print configurado para Windows 2016, 2019, 10 y 11 (?). ️ https://t.co/PRO3p99CFo
– Hacker fantástico (@hackerfantastic) 6 de julio de 2021
Ahora, a medida que más y más investigadores han comenzado a modificar sus exploits y probar las actualizaciones de parches, se descubre que los exploits pueden omitir todas las actualizaciones de parches por completo para lograr la escalada de privilegios locales (LPE) y la ejecución remota de código (RCE).
Tratar con cadenas y nombres de archivo es difícil😉
Nueva función en #mimikatz para normalizar los nombres de archivo (sin pasar por las comprobaciones mediante el uso de UNC en lugar del formato servershare)
Entonces, un RCE (y LPE) con #printnightmare en un servidor completamente parcheado, con Point & Print habilitado
> https://t.co/Wzb5GAfWfd pic.twitter.com/HTDf004N7r
– Benjamin Delpy (@gentilkiwi) 7 de julio de 2021
Dormann también confirmó la omisión del parche en su cuenta de Twitter. También explicó cómo se podría penetrar el proceso de omisión hasta la actualización de Microsoft.
Para omitir el parche PrintNightmare y lograr RCE y LPE, la política de Windows denominada Point and Print Restrictions debe estar habilitada, y la configuración “Al instalar controladores para una nueva conexión” debe establecerse en “No mostrar advertencia en el mensaje de elevación”.
La política se encuentra en Configuración del equipo → Plantillas administrativas → Impresoras → Restricciones de apuntar e imprimir.
Cuando está habilitado, “NoWarningNoElevationOnInstall” en el registro HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsNTPrintersPointAndPrint se establecerá en la configuración 1 en la clave de registro.
Hickey también aconseja a los administradores y usuarios de Windows que desactiven el servicio Print Spooler para proteger sus dispositivos hasta que se publique la actualización de parches adecuada.
Microsoft afirma estar realizando una investigación sobre sus reclamos de omisión de actualizaciones. Dicen que la omisión puede ocurrir cuando el administrador cambia primero la configuración del registro, donde debe requerir penetración u otras infracciones. Microsoft también dijo que tomaría más medidas para proteger a sus clientes si las investigaciones indicaran un problema más grave.
