in

Por qué la cola de impresión de Windows sigue siendo un objetivo importante



Cuando un equipo de piratas informáticos, presuntamente de Estados Unidos e Israel, utilizó el gusano Stuxnet en 2010 para sabotear centrifugadoras en una instalación de enriquecimiento de uranio iraní en Natanz, una vulnerabilidad crítica que explotaron en el ataque fue un error en Windows Print Spooler.

Más de una década después del incidente, la tecnología de servicios de impresión de Microsoft sigue siendo un objetivo popular para los atacantes que buscan un acceso privilegiado a las redes corporativas. Para los equipos de seguridad, el servicio que administra el proceso de impresión en entornos Windows sigue siendo un objetivo masivo que necesita parches y reparaciones casi constantes.

Tan recientemente como este año, Microsoft hizo esfuerzos para lanzar actualizaciones para varios errores críticos recientemente descubiertos en Print Spooler, en algunos casos solo después de que los informes de exploits en la naturaleza estuvieran disponibles para ellos. Los ejemplos más recientes son CVE-2021-36958, un error de ejecución de código remoto para el cual Microsoft lanzó un parche de emergencia fuera de banda en agosto, y el llamado error «PrintNightmare». [CVE-2021-34527], lo que generó recomendaciones corporativas urgentes de US-CERT y otros para deshabilitar inmediatamente la cola de impresión en todos los sistemas críticos. Los errores y muchos otros a lo largo de los años, incluido CVE-2021-1675, que se corrigió en junio, y el error PrintDemon (CVE-2020-1048) en mayo pasado ayudaron a aclarar el riesgo potencial que Windows Print Spooler todavía representa para las organizaciones.

Destino perfecto
Para los actores de amenazas, la tecnología es un objetivo ideal, dicen los expertos en seguridad. Print Spooler tiene más de 20 años y proviene de Windows NT. Es complejo y está lleno de errores que esperan ser encontrados. De forma predeterminada, el servicio está habilitado en todos los sistemas Windows, incluidos los controladores de dominio y otros sistemas comerciales críticos de Windows. Cuando se explota, la tecnología puede otorgar a los atacantes permisos a nivel de sistema y la capacidad de instalar malware, modificar datos y ejecutar código malicioso de forma remota. En sistemas críticos como los controladores de dominio y los sistemas de Active Directory, las fallas de la cola de impresión como PrintNightmare les han dado a los atacantes la capacidad de crear nuevas cuentas de administrador y obtener acceso a cualquier sistema de la red.

«El servicio Print Spooler está habilitado de forma predeterminada en todas las versiones de Windows, estaciones de trabajo, servidores y sistemas antiguos y nuevos», dijo Oren Biderman, experto sénior en respuesta a incidentes de Sygnia. «Diferentes tipos de actores de amenazas, desde actores respaldados por el estado hasta grupos de ransomware, [have abused] Imprima errores de spooler para elevar los permisos de nivel de dominio o de máquina y ejecutar su código de manera sigilosa «.

Desde el punto de vista de un defensor, es difícil detectar la explotación y los registros de eventos de Windows relacionados están deshabilitados de forma predeterminada. Esto significa que las empresas a menudo necesitan buscar de manera proactiva intentos de explotación en sus redes que tengan como objetivo los spoolers de impresión, dice Biderman.

Los errores de la cola de impresión son fáciles de explotar sin tener habilidades técnicas muy sólidas. Además, los exploits son estables, lo que significa que los atacantes a menudo pueden ejecutar un exploit sin bloquear el sistema vulnerable. Significativamente, un exploit de cola de impresión funciona para cualquier sistema: estaciones de trabajo, servidores, sistemas más antiguos como Windows 2008 y sistemas más nuevos como Windows Server 2019, dice Biderman.

El acceso altamente privilegiado de Print Spooler a las redes corporativas puede ser particularmente problemático. Por ejemplo, el error PrintNightmare en un componente de cola de impresión utilizado para instalar controladores de impresora dio a los atacantes la oportunidad de poner en peligro toda la infraestructura de identidad de una empresa muy rápidamente. Les otorgó a los atacantes permisos a nivel de sistema sobre los controladores de dominio y la capacidad de realizar acciones maliciosas a través de un canal cifrado con derechos administrativos completos.

«Los piratas informáticos buscan cualquier servicio que esté escuchando en un puerto con el que puedan comunicarse», dijo Archie Agarwal, fundador y director ejecutivo de ThreatModeler. «Da la casualidad de que el servicio Microsoft Print Spooler tiene privilegios de sistema, es decir, cualquier código [that] Los atacantes que pueden ejecutar este servicio de forma remota en el contexto de este servicio tienen los mismos privilegios elevados «.

Los errores de la cola de impresión a menudo permiten el movimiento lateral y la elevación de permisos, lo que los convierte en un gran objetivo para los atacantes, dice Agarwal.

Factores que complican
Hay otros factores que hacen de la cola de impresión una pesadilla para los administradores de seguridad. Uno de ellos es la complejidad. Por ejemplo, el hecho de que la cola de impresión interactúe con el subsistema de llamada a procedimiento remoto (RPC) puede dificultar que las organizaciones solucionen las vulnerabilidades de seguridad en determinadas circunstancias. Eso es porque RPC es un subsistema extremadamente complejo que en sí mismo ha sido una fuente de numerosas vulnerabilidades, dice Jake Williams, cofundador y CTO de BreachQuest. Para mitigar por completo el riesgo de vulnerabilidades en las colas de impresión, las organizaciones a menudo se ven obligadas a garantizar que la forma en que interactúa con el subsistema RPC también sea segura.

«Print Spooler probablemente se escribirá desde cero», dice Williams. «Los actores de amenazas saben que hay sangre en el agua y están trabajando para descubrir vulnerabilidades adicionales en el subsistema de cola de impresión».

El propio manejo de Microsoft de los errores de la cola de impresión también ha sido una fuente de frustración para los administradores de seguridad. Por ejemplo, muchos asumieron que un parche que Microsoft lanzó en junio para un error en Print Spooler (CVE-2021-1675) los protegería de los ataques asociados con el error PrintNightmare un mes después. Los investigadores de seguridad creen que si bien ambos errores probablemente tuvieron la misma causa, el parche de junio de Microsoft solo solucionó un problema de escalada de privilegios local sin considerar el potencial de abuso remoto de la misma vulnerabilidad subyacente.

Ha habido muchos otros casos en los que se han emitido parches de Microsoft para errores de cola de impresión con el fin de no proteger completamente a las organizaciones de los ataques que tienen como objetivo los errores. En 2020, 10 años después del incidente de Stuxnet, los investigadores de Safe Breach descubrieron tres errores de día cero en los spoolers de impresión, dos de los cuales implicaban esencialmente una nueva forma de usar la misma función que Stuxnet estaba haciendo hace una década.

«Estamos luchando lo suficiente como industria para corregir las vulnerabilidades, pero el esfuerzo se estropea aún más cuando los proveedores lanzan parches que no funcionan o corrigen errores», dijo Yaniv Bar-Dayan, director ejecutivo y cofundador de Vulcan Cyber. . «E incluso si un parche está perfectamente reparado, no significa que se haya aplicado adecuada o correctamente con todas las demás correcciones que a menudo se necesitan en relación con un parche».

Es difícil decir por qué Microsoft no ha podido fortalecer completamente el servicio de cola de impresión, agrega Claire Tills, ingeniera de investigación senior de Tenable. La cola de impresión recibió mucha atención de investigadores, expertos en seguridad y atacantes, lo que presionó a Microsoft para que actuara con rapidez.

«Esto puede llevar a Microsoft a lanzar parches para problemas individuales sin investigar completamente el servicio», dice Tillis.

What do you think?

Written by Alan Kim

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

GIPHY App Key not set. Please check settings

Los ataques de phishing mantendrán un «nuevo nivel normal» hasta mediados de 2021

Las empresas se enfrentan a problemas cuando caduca el certificado raíz de Let’s Encrypt