A pesar de los numerosos intentos de Microsoft para parchear con éxito PrintNightmare, todavía no ha terminado. Ahora, se ha descubierto otra vulnerabilidad de Windows 10 PrintNightmare Print Spooler, y es atrayendo ransomware atacantes que buscan un fácil acceso a los privilegios del sistema.
Microsoft lanzó varios parches durante julio y agosto para abordar la vulnerabilidad y ajustó el proceso mediante el cual los usuarios pueden instalar nuevos controladores de impresora. Sin embargo, los investigadores todavía encontraron una solución para lanzar un ataque a través de una vulnerabilidad de Print Spooler más reciente, denominada CVE-2021-36958.
De una publicación en el Centro de respuesta de seguridad de Microsoft, Microsoft describe la vulnerabilidad:”Existe una vulnerabilidad de ejecución remota de código cuando el servicio Windows Print Spooler realiza incorrectamente operaciones con archivos privilegiados. Un atacante que aprovechara con éxito esta vulnerabilidad podría ejecutar código arbitrario con privilegios de SISTEMA. Entonces, un atacante podría instalar programas; ver, cambiar o eliminar datos; o crear nuevas cuentas con todos los derechos de usuario”.
Microsoft también enumera la solución para la vulnerabilidad como”detener y deshabilitar el servicio de cola de impresión”. El atacante necesitará privilegios de administrador para instalar los controladores de impresora necesarios; Sin embargo, si ya hay un controlador instalado, estos privilegios no son necesarios para conectar una impresora. Además, no es necesario instalar los controladores en los clientes, por lo que la vulnerabilidad sigue siendo, bueno, vulnerable en cualquier caso en el que un usuario se conecte a una impresora remota.
Los atacantes de ransomware, naturalmente, están aprovechando al máximo la exploits, de acuerdo con Bleeping Computer . Magniber, un grupo de ransomware, fue descubierto recientemente por CrowdStrike . en un intento de explotar las vulnerabilidades no parcheadas contra las víctimas de Corea del Sur.
Aún no se sabe, ni de Microsoft ni de ningún otro lugar, si la vulnerabilidad PrintNightmare está al alcance de la mano. De hecho, CrowdStrike estima “que la vulnerabilidad PrintNightmare junto con la implementación de ransomware probablemente seguirá siendo explotado por otros actores de amenazas ”.
a través de Windows Central