Un nuevo exploit de agujero de seguridad de Windows ha sido descubierto, y ya lo están utilizando para tomar el control de las máquinas. El exploit se aprovecha de una vulnerabilidad en el sistema de impresión de Windows, y permite ejecutar código arbitrario en las máquinas objetivo, lo llamativo y trapero de este tipo de ataque, es que te hackea la cola. Y antes de que sigas leyendo, esto tal vez a vos te parezca nuevo, pero comenzó en 2021.
El exploit se ha denominado PrintNightmare, y aunque sorprenda, te ataca la cola. Claro, es la cola de impresión. Ya está siendo utilizado para robar datos, instalar malware y secuestrar máquinas. Microsoft ha lanzado una actualización para solucionar la vulnerabilidad, pero muchas máquinas aún no están actualizadas.
Las usuarias de Windows deben actualizar sus sistemas lo antes posible para protegerse de este exploit. También deben utilizar un antivirus y firewall para bloquear los ataques.
Este nuevo exploit es un recordatorio de la importancia de mantener los sistemas actualizados y de utilizar soluciones de seguridad. Siempre hay alguien interesada en tu cola, y es por eso que están buscando nuevas vulnerabilidades para explotar. Es importante estar preparadas.
Cronología de PrintNightmare
A principios de junio.. de 2021 porque es una vulnerabilidad vieja, el día 8, Microsoft publicó el CVE-2021-1675, titulado «Windows Print Spooler Remote Code Execution Vulnerability«, es decir, Vulnerabilidad de ejecución remota de código en el administrador de impresión de Windows. Nada hizo pensar, en su momento, que su trascendencia fuera a escalar hasta el punto actual. En aquel momento parecía una amenaza menor, que se había identificado antes de ser explotada y que se podía solucionar fácilmente. No había, según ellas, razón para preocuparse.
Llegado Julio (cuac) todo cambió. Las princiaples agencias de seguridad del mundo dieron el alerta: las colas estaban en peligro. Usuarias y organizaciones públicas y privadas adoptaron medidas, pero no pudieron detenerlo. Ya tenía nombre y estaba allí para atacar tu impresora con nombre y apodo: vulnerabilidad CVE-2021-34527, pero como es un embole pronunciar algo tan largo, le pusieron PrintNightmare.
Desde el arranque plantearon que se trataba de una vulnerabilidad crítica, ya que permite ejecutar código de forma remota y prácticamente hacer lo que se te cante. El problema radica en una función en la cola de impresión de Windows que se lama RpAddPrinterDriverEx(), que lo que hace es permitir instalar una nueva impresora en el sistema. Esto es producto de que el gestor de impresión no restringe el acceso a la impresora, por lo que cualquier usuaria que se haya autenticado, local o remotamente, puede utilizarla.
Para muchas no será una pesadilla que esto suceda, tal vez un enorme e innecesario gasto en papel, pero no, es mucho más que eso, porque al poder instalar un driver (software que maneja un hardware) aunque no esté firmado, podés hacer cualquier cosa con la máquina de destino. Estarás pensando ¿y cómo un driver de impresora va a afectar toda la máquina? La respuesta es simple: ¡no es un driver de impresora! Vos creerás que están laburando tu cola de impresión, pero te están levantando el disco entero. Algo así como toparse con la inspectora de colas.
Al lograr acceso a un sistema y emplear la función de agregar impresoras de nombre tan difícil que puse más arriba, podés ejecutar el código que se te antoje, configurar privilegios de usuaria y luego hacer medianamente lo que se te antoje. Luego de que tomás el control, el desafío es la creatividad. Tal vez no te parezca gran cosa, pero Windows es un sistema muy usado en espacios públicos, lo que puede derivar en el secuestro de información de las personas, que también parece inocuo pero no es joda. Si tomo el control de la AFIP sin que nadie se de cuenta, me puedo poner como tu empleada registrada u obtener otras formas de beneficio como vender la información de todas las personas que viven en un país.
¿Cómo funciona el exploit?
El exploit se aprovecha de una vulnerabilidad en el sistema de impresión de Windows. La vulnerabilidad permite ejecutar código arbitrario (lo que significa que pueden ejecutar lo que se les cante) en las máquinas objetivo simplemente enviando un archivo de impresión malicioso a la máquina.
Una vez que el archivo de impresión malicioso se ha ejecutado, permite tomar el control de la máquina. De ahí en adelante, pueden entonces robar datos, instalar malware o secuestrar la máquina.
¿Cómo puedo protegerme de este exploit?
Hay varias cosas que podès hacer para protegerte de este exploit:
- Actualizá tu sistema a la última versión, (si querés cambialo por uno que sí sea operativo, como ElementaryOS).
- Utilizá un antivirus y firewall.
- Bloquezá las conexiones no autorizadas a tu máquina.
- Se cuidadosa con los archivos de impresión que abrís.
¿Qué es PrintNightmare?
PrintNightmare es un nombre de código para un exploit (una forma de aprovechar tu ignorancia o el mal software para engañarte) de agujero de seguridad de Windows que permite tomar el control de las máquinas. El exploit se aprovecha de una vulnerabilidad en el sistema de impresión de Windows. Sí, abundan, así que esta es sólo una.
PrintNightmare fue descubierto en mayo de 2021, y rápidamente se convirtió en una de las vulnerabilidades de seguridad más conocidas de Windows. Microsoft lanzó una actualización para solucionar la vulnerabilidad, pero muchas máquinas aún no están actualizadas.
¿Cómo se puede utilizar PrintNightmare para atacar las máquinas?
PrintNightmare se puede utilizar para atacar las máquinas de varias maneras. Quien te ataque, puede utilizar PrintNightmare para robar datos, instalar malware o secuestrar máquinas.
Para robar datos, usan PrintNightmare para acceder a los archivos almacenados en la máquina objetivo. Ahí también pueden utilizar PrintNightmare para instalar malware en la máquina objetivo. El malware puede ser utilizado para robar datos, espiarte o dañar la máquina.
Para secuestrar la máquina, usan PrintNightmare para tomar el control de la máquina y ejecutar código arbitrario. El código arbitrario puede ser utilizado para apagar la máquina, borrar los datos o realizar otras acciones dañinas.
¿Qué ha hecho Microsoft para solucionar el exploit?
Microsoft ha lanzado una actualización para solucionar el exploit PrintNightmare. La actualización está disponible para Windows 7, Windows 8, Windows 10 y Windows 11.
Para instalar la actualización, abrí el Panel de control y hacé clic en “Actualizaciones y seguridad”. A continuación, toca pulsar en “Ver actualizaciones disponibles” y luego haga clic en “Descargar e instalar”.
Una vez que la actualización se haya instalado, tenés que reiniciar la máquina para que los cambios surtan efecto.
