Los problemas de seguridad con las impresoras de Windows están lejos de resolverse
En los últimos meses, Windows se ha visto afectado por numerosos problemas de seguridad asociados con las impresoras. Estos están atendidos para ser rápidos por Microsoft, que intenta resolverlos de forma definitiva.
Este no ha sido el escenario, y los problemas vuelven a surgir de forma recurrente. La materialización de esto ha llegado ahora, con una nueva prueba de concepto de un defecto. Un servidor de impresión sencillo con acceso a Internet ofrece a los usuarios privilegios adicionales.
PUB
->
Los problemas de seguridad que el sistema de impresión de Windows no se ha ralentizado. Es un problema real que Microsoft ha intentado resolver repetidamente, sin tener mucho o ni siquiera el éxito esperado. Al resolver uno, aparecen nuevos, casi de forma natural.
Para mostrar cómo este problema todavía existe y lo simple que es explorarlo, ha surgido una prueba de concepto muy real. Un investigador ha creado un servidor de impresión remoto, pero accesible a través de Internet, que muestra eso a quienes acceden a él y lo utilizan para realizar pruebas.
quiero probar #printnightmare (ep 4.x) usuario a sistema como servicio?
(Solo POC, escribirá un archivo de registro en system32)conectarse a \ https: //t.co/6Pk2UnOXaG con
- usuario:. gentilguest
- contraseña: contraseñaAbra 'Kiwi Legit Printer - x64', luego 'Kiwi Legit Printer - x64 (otra)' pic.twitter.com/zHX3aq9PpM
- 🥝 Benjamin Delpy (@gentilkiwi) 17 de julio de 2021
Lo que hace este servidor es algo muy simple, pero muestra claramente cómo los sistemas están expuestos y vulnerables. El primer paso es la instalación automática de un controlador de impresora, para que el acceso al servidor de impresión esté garantizado.
A partir de entonces, el atacante, que en este caso es el usuario, consigue obtener permisos superiores a los de base. La forma de probarlo, en este caso específico, es registrar un archivo de registro en la carpeta C: Windows System32, al que normalmente no se accede y requiere permisos de administrador.
Como muchos no creyeron de inmediato en la capacidad de obtener privilegios de administrador en Windows, esta evidencia se ha modificado para que sea más clara. El cambio llevó a que se realizara una llamada al sistema que mostraba claramente la falla y el problema.
Stop-Service -Name Spooler -Force
Set-Service -Name Spooler -StartupType deshabilitado
Como antes, Microsoft tiene que abordar esta falla y cerrar el acceso a permisos que no deberían existir. La forma temporal de resolver se presenta en los comandos anteriores y puede ser utilizada por cualquier usuario.