Los expertos en seguridad han notado que los operadores de ransomware han agregado exploits a su arsenal para los problemas de PrintNightmare y los están utilizando para implementar cargas útiles del ransomware Magniber.
¿Qué es PrintNightmare? Es una vulnerabilidad crítica localizada en la cola de impresión de Windows
La Cronología de PrintNightmare
El 8 de junio de este año, Microsoft publicó el CVE-2021-1675, titulado “Windows Print Spooler Remote Code Execution Vulnerability”, es decir, que existe una vulnerabilidad de ejecución remota de código en el administrador de impresión de Windows. Nada hizo pensar, en su momento, que su trascendencia fuera a escalar hasta el punto actual. En aquel momento parecía una amenaza menor, que se había identificado antes de ser explotada y que se podía solucionar fácilmente. No había, entonces porque preocuparse.
Sin embargó como va transcurriendo el tiempo, las principales agencias de seguridad del mundo empezaron a emitir comunicados en los que alertaba sobre una actualización importante de CVE-2021-1675. Mensajes que urgían a usuarios y organizaciones públicas y privadas a adoptar, de inmediato, medidas para protegerse de esta amenaza. En ese mismo espacio temporal, Microsoft publicaba la vulnerabilidad CVE-2021-34527, que es a la que le corresponde el sobrenombre de PrintNightmare.
A diferencia de CVE-2021-1675, que recibió una calificación de riesgo alto, PrintNightmare se ganó, desde un primer momento, la calificación de vulnerabilidad crítica, pues permite la ejecución de código de manera remota. Desde ese momento se han producido varias actualizaciones, y Microsoft no ha dejado de trabajar día y noche en este problema. Mientras tanto, y a la espera de una solución definitiva, también hemos podido leer varias recomendaciones para mitigar sus riesgos.
PrintNightmare.- Es una vulnerabilidad crítica localizada en la cola de impresión de Windows
El nombre PrintNightmare combina toda una clase de vulnerabilidades ( CVE-2021-1675 , CVE-2021-34527 y CVE-2021-36958 ) que afectan el servicio Windows Print Spooler, los controladores de impresión y la funcionalidad de Windows Point and Print.
Microsoft ya lanzó parches para CVE-2021-1675 y CVE-2021-34527 en julio y agosto de este año, pero los investigadores encontraron que los problemas aún no están completamente resueltos y los atacantes aún pueden obtener privilegios de nivel de sistema simplemente conectándose a servidor de impresión remoto. A este problema se le ha asignado recientemente el ID CVE-2021-36958.
Crowdstrike ahora informa que los piratas informáticos pusieron en servicio los problemas de PrintNightmare el mes pasado. Las vulnerabilidades son explotadas por al menos un grupo de piratas informáticos detrás del ransomware Magniber, que utiliza exploits PrintNightmare contra las víctimas de Corea del Sur.
Después de comprometer los servidores que no tienen instalados los parches PrintNightmare, Magniber utiliza un cargador de DLL ofuscado, que primero se inyecta en el proceso y luego se desempaqueta para realizar un recorrido de archivo local y cifrar archivos en el dispositivo comprometido.
Si bien los expertos creen que solo Magniber utiliza exploits para PrintNightmare para sus ataques, esperan que otros grupos de piratas informáticos, especialmente los desarrolladores de ransomware, pronto se aprovechen de las vulnerabilidades.