Microsoft ha confirmado otra vulnerabilidad de error de día cero relacionada con su utilidad Print Spooler, a pesar de las correcciones de seguridad lanzadas recientemente.
No debe confundirse con la vulnerabilidad inicial de PrintNightmare, o la otra explotación reciente de Print Spooler, este nuevo error permitiría a un atacante local obtener privilegios del sistema. Microsoft aún está investigando el error, denominado CVE-2021-36958, por lo que aún no ha podido verificar qué versiones de Windows están afectadas. Tampoco ha anunciado cuándo lanzará una actualización de seguridad, pero afirma que las soluciones generalmente se lanzan mensualmente.
Según BleepingComputer, la razón por la cual las actualizaciones de seguridad recientes de Microsoft no ayudan es por un descuido con respecto a los privilegios de administrador. El exploit consiste en copiar un archivo que abre un símbolo del sistema y un controlador de impresión, y se necesitan privilegios de administrador para instalar un nuevo controlador de impresión.
Sin embargo, las nuevas actualizaciones solo requieren privilegios de administrador para la instalación del controlador; si el controlador ya está instalado, no existe tal requisito. Si el controlador ya está instalado en una computadora cliente, un atacante simplemente necesitaría conectarse a una impresora remota para obtener acceso completo al sistema.
Al igual que con las explotaciones anteriores de Print Spooler, Microsoft recomienda desactivar el servicio por completo (si es "apropiado" para su entorno). Si bien esto cerraría la vulnerabilidad, también deshabilitaría la capacidad de imprimir de forma remota y localmente.
En lugar de evitar que pueda imprimir por completo, BleepingComputer sugiere que solo permita que su sistema instale impresoras de servidores que autorice personalmente. Sin embargo, señala que este método no es perfecto, ya que los atacantes aún podrían instalar los controladores maliciosos en un servidor autorizado.