PrintNightmare ataca de nuevo: Microsoft confirma otro error de día cero

Alberto Payo

Periodista

Guardar

Businesswoman Operating Printer In Office
Businesswoman Operating Printer In Office

Este verano la impresión está siendo un gran dolor de cabeza para Microsoft y también para todas aquellas empresas que usan Windows y tienen respeto por algo tan frecuente como imprimir documentos en papel.

La empresa dirigida por Satya Nadella ha comunicado una nueva vulnerabilidad de cola de impresión de Windows de día cero, identificada como CVE-2021-36958, por la cual los atacantes locales pueden conseguir privilegios de un sistema en cualquier equipo con el SO de Microsoft. La vulnerabilidad ha sido detectada por el investigador de seguridad Benjamin Delpy, quien muestra en un vídeo cómo se puede acceder al escalado de privilegios tan solo con conectarse a un servidor de impresión remoto.

La propia Microsoft explica en su aviso que hay una vulnerabilidad de ejecución remota de código cuando el servicio de cola de impresión de Windows realiza incorrectamente operaciones de archivos privilegiados.

“Un atacante que aproveche con éxito esta vulnerabilidad podría ejecutar código arbitrario con privilegios de SISTEMA. Un atacante podría instalar programas, ver, cambiar o eliminar datos, o crear nuevas cuentas con derechos de usuario completos”, señalan desde la empresa tecnológica, indicando también cómo se puede resolver. “La solución para esta vulnerabilidad es detener y deshabilitar el servicio de cola de impresión”, aseguran.

En este caso por ahora Microsoft no ha difundido ningún parche para hacer frente a la nueva vulnerabilidad.

La pesadilla no había acabado

Esta noticia sería un nuevo capítulo de un grave problema que arrastra Microsoft desde el pasado mes. A principios de julio Microsoft advirtió de una vulnerabilidad crítica denominada PrintNightmare (pesadilla de impresión) relacionada con el proceso de impresión, que permitía a un atacante ejecutar código malicioso como sistema operativo en cualquier sistema Windows.

La compañía de Redmond no tardó en lanzar el parche de seguridad KB5004945 para solucionar el problema en las versiones de Windows 10 1607, Windows Server 2016 y Windows Server 2012, sin embargo, esto solo habría solucionado la ejecución remota de código. Así, cualquier atacante podía seguir realizando un escalado de privilegios en un sistema vulnerable de forma local, si tenía acceso físico al sistema. PrintNighmare tuvo en vilo durante varios días a varias compañías del Ibex 35 el mes pasado, que decidieron paralizar sus impresiones en papel para evitar posibles ataques.