Windows 10 PrintNightmare no ha terminado después de todo, y los atacantes de ransomware están tomando nota

Surface Pro XFuente: Daniel Rubino / Windows Central

Se ha descubierto otra vulnerabilidad de la cola de impresión de día cero de Windows (a través de Bleeping Computer). Este es otro error que pertenece a la clase conocida como PrintNightmare. Al igual que otras vulnerabilidades de su clase, los atacantes pueden aprovechar esta vulnerabilidad para ejecutar código con privilegios de SISTEMA.

Microsoft lanzó revisiones que corrigen vulnerabilidades en PrintNightmare en julio y agosto de 2021. La compañía también ha cambiado el proceso para instalar nuevos controladores de impresora para requerir privilegios de administrador. A pesar de estos cambios, los investigadores han encontrado formas de atacar las PC utilizando una vulnerabilidad de cola de impresión.

Microsoft explica el problema, que está etiquetado como CVE-2021-36958:

Existe una vulnerabilidad de ejecución remota de código cuando el servicio de cola de impresión de Windows realiza incorrectamente operaciones con archivos privilegiados. Un atacante que aproveche con éxito esta vulnerabilidad podría ejecutar código arbitrario con privilegios de SISTEMA. Entonces, un atacante podría instalar programas; ver, modificar o eliminar datos; o cree nuevas cuentas con todos los derechos de usuario.

La solución para esta vulnerabilidad es detener y deshabilitar el servicio de cola de impresión.

Aunque los usuarios ahora necesitan privilegios de administrador para instalar controladores de impresora, no se requieren privilegios de administrador para conectarse a una impresora si ya hay un controlador instalado. Además, no es necesario instalar los controladores de los clientes, por lo que la vulnerabilidad permanece expuesta a ataques en los casos en que alguien se conecta a una impresora remota.

Ofertas de VPN: licencia de por vida por $ 16, planes mensuales por $ 1 y más

Bleeping Computer también informa que los atacantes de ransomware utilizan las vulnerabilidades de PrintNightmare. Se ha descubierto un grupo de ransomware llamado Magniber que intenta explotar vulnerabilidades en PrintNightmare, según un informe de Crowdstrike.

El Director de Investigación e Informes de Amenazas de Crowdstrike advierte que esto solo podría ser el comienzo de que los atacantes exploten estas vulnerabilidades: “CrowdStrike cree que la vulnerabilidad PrintNightmare asociada con la implementación de ransomware probablemente continuará siendo explotada por otros actores de la amenaza. "

Podemos ganar una comisión por compras usando nuestros enlaces. Aprende más.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir