Las versiones que se han visto afectadas por esta vulnerabilidad van desde la lanzada en 1996 hasta el actual Windows 10. PrintDemon (Windows Print Spooler) permite obtener permisos de administrador aprovechando una vulnerabilidad en el sistema de impresión.

Alex Ionescu y Yarden Shafir, ambos investigadores de seguridad, han sido los responsables de encontrar la misma. Tras detectar esta brecha de seguridad se pusieron rápidamente en contacto con el personal de Microsoft y la compañía no tardó en parchear el agujero de seguridad y sacar una actualización que se publicó el pasado 12 de mayo.

El sistema operativo hace uso de Windows Print Spooler para enviar los datos que queremos imprimir a nuestra impresora. Esta comunicación se lleva a cabo mediante puertos USB, TCP, o son guardados como archivo local. Si tenemos en cuenta que Windows Print Spooler está disponible para todas las versiones y sin restricciones de permisos, un atacante puede aprovecharlo para ejecutar desde ahí un comando con el que obtener permisos de administrador.

Según los investigadores, obtener estos permisos es tan sencillo como ejecutar un comando en PowerShell sin privilegios de administrador para obtener acceso completo al sistema.

Pero no es oro todo lo que reluce, esta vulnerabilidad no se puede explotar de forma remota, para poder llevar a cabo este ataque es necesario tener acceso a la máquina, por lo que es necesario llevar a cabo una escalada de privilegios locales.

Actualización de Windows

Sobre la vulnerabilidad Microsoft ha explicado lo siguiente:

«Si un atacante explotara correctamente esta vulnerabilidad, podría ejecutar código arbitrario con privilegios de administrador en el sistema. Un atacante podría instalar programas; ver, cambiar o eliminar datos; o crear nuevas cuentas con derechos de usuario completos.»

Continúa Microsoft:

«Para explotar esta vulnerabilidad, un atacante tendría que iniciar sesión en un sistema afectado y ejecutar un script o aplicación especialmente diseñado.»

Por lo tanto, la solución es tan sencilla como actualizar el sistema operativo. En cualquier caso, es una vulnerabilidad que, como bien indica Microsoft, no se había hecho pública antes y era necesario tener acceso al equipo antes de obtener los permisos.

La vulnerabilidad es identificada como PrintDemon (CVE-2020-1048)

Fuente:

https://blog.segu-info.com.ar/2020/05/vulnerabilidad-critica-en-printdemon.html