Vulnerabilidad PrintNightmare

¿En qué consiste PrintNightmare?

La vulnerabilidad radica en una función de la cola de impresión de Windows, concretamente en RpAddPrinterDriverEx() el cual permite la instalación de una nueva impresora en el sistema. El problema es que el gestor de impresión no restringe el acceso al sistema, a pesar de que sí debería hacerlo, por lo que cualquier usuario autenticado, ya sea local o remotamente, puede emplearla.

¿Y cuál es el problema de que un usuario pueda instalar remotamente una impresora?

El problema es que cuando instalas una impresora estás instalando un controlador (un driver)  el cual puede no estar firmado, y haber sido manufacturado para propósitos distintos del de utilizar una impresora, es decir, podría contener cualquier malware o software malicioso.

De este modo, un adversario malicioso que logra acceso a un sistema y emplea RpAddPrinterDriverEx() para ejecutar código malicioso, puede escalar privilegios fácilmente, instalar programas con todos los permisos del mismo e  incluso tomar el control completo del equipo.

El administrador de impresión es un componente presente en todas las versiones de Windows, por lo que Microsoft indica que cualquier instalación de su sistema operativo es susceptible de ser atacada empleando printNightmare.

Por lo tanto, sea la que sea tu versión de Windows, si tu sistema está configurado para tener encendido el servicio de impresión, (normalmente un comportamiento por omisión) está expuesto a PrintNightmare y, por lo tanto, debes tomar medidas para protegerte o asumir el riesgo.

¿Cómo protegerse de PrintNightmare?

La solución para mitigar esta vulnerabilidad es:

• Deshabilitar el servicio Print Spooler de Microsoft Windows en los controladores de dominio y los sistemas que no imprimen utilizando idealmente un Group Policy Object o simplemente deteniendo y desactivando el servicio. https://docs.microsoft.com/en-us/defender-for-identity/cas-isp-print-spooler

• Se ha proporcionado un nuevo workaround (arreglo parche), que consiste en restringir con las listas de control de accesos (ACLs) el servicio de la cola de impresión para hacer que potenciales exploits y/o adversarios maliciosos no logren efectividad comprometiendo sistemas al intentar aprovechar esta vulnerabilidad., Este mecanismo permite mantener sus servidores de impresión en funcionamiento, hasta que un parche esté disponible.