Para los que no estén al tanto, Microsoft actualmente está tratando de corregir una vulnerabilidad de día cero que afecta a casi todas las versiones modernas de Windows, PrintNightmare se llama. Y como podrán intuir por el nombre, está asociada a los servicios de impresora, específicamente al denominado Print Spooler o servicio de cola de impresión. Dicho servicio está siendo aprovechado activamente para llevar a cabo ejecución remota de código, y palabras más palabras menos, permitiría a un atacante instalar programas, ver, cambias y eliminar datos en un equipo o servidor.
El grado de gravedad de la situación es tal, que Microsoft tuvo que apresurarse a lanzar un parche para corregir esta vulnerabilidad (KB5004945), saltándose de por medio el calendario habitual de actualización de cada mes.
El parche no corrige por completo la vulnerabilidad PrintNightmare
Sin embargo, los internautas y expertos de ciberseguridad por igual no tardaron en descubrir que el parche dista de solucionar el problema. Según tenemos entendido, todavía existen exploits para ignorar los cambios del parche y llevar ataques de escalada de privilegios local y de código remoto.
En este sentido, la directiva ‘Restricciones de apuntar e imprimir’ permanece habilitada, lo que permite seguir ejecutando ataques de código remoto.
Incluso Microsoft está consciente de su fracaso al intentar corregir la vulnerabilidad PrintNightmare; por lo que la sugerencia general es deshabilitar el servicio de cola de impresión en servidores y estaciones de trabajo mientras se desarrolla un parche funcional. En un giro irónico de eventos, el parche incompleto de Microsoft hace incompatible con Windows al único parche no oficial que sí logra darle solución al problema (el de 0Patch).
Otra alternativa o workaround compartida por Microsoft, consiste en deshabilitar la impresión remota entrante a través de la Política de Grupo.
No obstante, en ambos casos se verá comprometida la funcionalidad del servicio de impresión. Con la primera “solución” no se podrá imprimir ni de manera local o remota, mientras que, con la segunda, el sistema dejará de funcionar como servidor de impresión. En ningún caso el resultado es positivo.
Con eso dicho, aunque algunos quizás confíen más en los parches no oficiales de los gurús de internet, un parche completo y oficial se espera para este martes 13 de julio.
Vía | Bleeping Computer