Los ciberdelincuentes siempre están a la caza de algún error que les permita obtener el control de los dispositivos para robar el dinero y la información de los usuarios. Por años, debido a su nivel de adopción, Windows ha sido uno de los sistemas más atacados, es por ello que Microsoft lanza regularmente actualizaciones que solucionan problemas de seguridad , pero ahora está advirtiendo de una falla crítica en su servicio de impresión que podría permitir a un tercero ejecutar código de manera remota.
De acuerdo con el medio The Verge, Microsoft está lanzando una advertencia a los usuarios de Windows sobre un problema en el servicio de cola de impresión de Windows, mismo que aún no ha recibido un parche.
La vulnerabilidad , denominada PrintNightmare , se descubrió a principios de esta semana después de que los investigadores de seguridad de la compañía publicaran accidentalmente un exploit de prueba de concepto (PoC). Si bien Microsoft no ha calificado la vulnerabilidad, se dice que es capaz de permitir a los atacantes ejecutar código de forma remota con privilegios de nivel de sistema.
Los investigadores de Sangfor publicaron el PoC , en lo que parece haber sido un error o una falta de comunicación entre los investigadores y Microsoft . El código de prueba se eliminó rápidamente, pero el error ya estaba disponible.
Lo que al parecer sucedió es que los investigadores de Sangfor habían planeado detallar varias vulnerabilidades de día cero en el servicio Windows Print Spooler en la conferencia anual de seguridad Black Hat a finales de este mes. El error fue que los expertos en ciberseguridad pensaron que Microsoft ya había solucionado dicha falla en particular, dado que la compañía había publicado una actualización para solucionar errores en el sistema Print Spooler, sin embargo, el parche estaba dirigido a otro problema.
Pasaron algunos días antes de que Microsoft se enterara de esa falla y entonces fue que comenzó a alertar a sus usuarios sobre la vulnerabilidad de día 0. Incluso, el sitio de internet Bleepingcomputer asegura que la compañía está advirtiendo a sus clientes que el error ya está siendo explotado activamente.
De acuerdo con lo que se conoce hasta ahora, la vulnerabilidad permite a los atacantes utilizar la ejecución remota de código, por lo que los delincuentes podrían potencialmente instalar programas, modificar datos y crear nuevas cuentas con derechos de administrador completos en Windows .
Microsoft admite que "el código que contiene la vulnerabilidad está en todas las versiones de Windows", pero no está claro si se puede explotar más allá de las versiones de servidor del sistema operativo. Y es que hay que señalar que el servicio Print Spooler se ejecuta de forma predeterminada en Windows, incluidas las versiones cliente del sistema, los controladores de dominio y muchas instancias de Windows Server.
Por ahora Microsoft ya está trabajando en un parche, pero hasta que esté disponible, la compañía recomienda deshabilitar el servicio Windows Print Spooler o deshabilitar la impresión remota entrante a través de la Política de grupo. Asimismo, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) recomendó que los administradores "deshabiliten el servicio de cola de impresión de Windows en los controladores de dominio y los sistemas que no imprimen".
Hay que decir que las vulnerabilidades en el servicio Windows Print Spooler han sido un dolor de cabeza para los administradores de sistemas durante años. Como ejemplo de ello podemos mencionar el virus Stuxnet que utilizó múltiples exploits de día 0, incluida una falla de Print Spooler, para destruir varias centrifugadoras nucleares iraníes hace más de una década.