Aunque parecía que el protagonista de julio, en ciberseguridad, sería Kaseya, ahora parece que tendrá que compartir espacio con PrintNightmare, una vulnerabilidad crítica localizada en la cola de impresión de Windows. La CISA (Cybersecurity & Infrastructure Security Agency) estadounidense emitió un comunicado en el que informaba sobre la misma, y desde entonces no ha dejado de circular información al respecto. Informaciones que, en alguna ocasión, han podido incluso parecer contradictorias entre sí.
Y esto es normal, claro, puesto que a lo largo de los días se han ido sucediendo nuevas averiguaciones, que han hecho que la valoración de la peligrosidad de PrintNightmare se haya incrementado considerablemente, al punto que incluso hemos visto como, tras la asignación de un CVE inicial, se ha tenido que emplear un segundo identificador que amplia la definición de esta amenaza, lo que a muchos usuarios les ha generado todavía más confusión. Vamos a intentar, pues, aportar un poco de orden a un asunto que merece toda nuestra atención.
A principios de junio, el día 8, Microsoft publicó el CVE-2021-1675, titulado «Windows Print Spooler Remote Code Execution Vulnerability«, es decir, Vulnerabilidad de ejecución remota de código en el administrador de impresión de Windows. Nada hizo pensar, en su momento, que su trascendencia fuera a escalar hasta el punto actual. En aquel momento parecía una amenaza menor, que se había identificado antes de ser explotada y que se podía solucionar fácilmente. No había, pues, razón para preocuparse.
Todo cambia, sin embargo, con el cambio de mes. Como ya indiqué antes, las principales agencias de seguridad del mundo empezaron a emitir comunicados en los que alertaba sobre una actualización importante de CVE-2021-1675. Mensajes que urgían a usuarios y organizaciones públicas y privadas a adoptar, de inmediato, medidas para protegerse de esta amenaza. En ese mismo espacio temporal, Microsoft publicaba la vulnerabilidad CVE-2021-34527, que es a la que le corresponde el sobrenombre de PrintNightmare.
A diferencia de CVE-2021-1675, que recibió una calificación de riesgo alto, PrintNightmare se ganó, desde un primer momento, la calificación de vulnerabilidad crítica, pues permite la ejecución de código de manera remota. Desde ese momento se han producido varias actualizaciones, y Microsoft no ha dejado de trabajar día y noche en este problema. Mientras tanto, y a la espera de una solución definitiva, también hemos podido leer varias recomendaciones para mitigar sus riesgos.
El problema radica en una función de la cola de impresión de Windows, concretamente en RpAddPrinterDriverEx() que, como su propio nombre indica, permite la instalación de una nueva impresora en el sistema. Y es que, pese a que debería hacerlo, el gestor de impresión no restringe el acceso a la misma, por lo que cualquier usuario autenticado, ya sea local o remotamente, puede emplearla.
¿Y cuál es el problema de que un usuario pueda instalar remotamente una impresora? ¿Qué hace que PrintNightmare sea tan peligroso? Seguro que ya lo has deducido: cuando hablo de instalar una impresora me refiero a su controlador, que un administrador puede instalar aunque no esté firmado y que, como ya puedes imaginar puede contener cualquier función maliciosa. De este modo, un atacante que logra acceso a un sistema y emplea RpAddPrinterDriverEx() para ejecutar código malicioso puede escalar privilegios, enviar cargas útiles al sistema comprometido e incluso tomar el control completo del mismo.
El administrador de impresión es un componente presente en todas las versiones de Windows, por lo que Microsoft indica que cualquier instalación de su sistema operativo es susceptible de ser atacada empleando PrintNightmare. Por lo tanto, sea la que sea tu versión de Windows, en principio tu sistema está expuesto a PrintNightmare y, por lo tanto, debes tomar medidas para protegerte. El problema es que no es tan sencillo como debería.
