Uno de los problemas de las infraestructuras informáticas de Windows que hay en el mundo es que es imposible saber a ciencia cierta los errores y fallos de seguridad que aún no hay ni descubiertos, y esto sin duda supone una ventaja para los hackers que pueden actuar sobre fallas que ni si quieras los expertos en software conocen. Esto supone tener que tener más cuidado a la hora de navegar entre páginas de dudosa legitimidad.
El mejor ejemplo actualmente es PrintNightmare, una nueva vulnerabilidad de Windows que accede a tu ordenador por la impresora. Pero este no es el único exploit del sistema operativo.
1PrintNightmare, la nueva vulnerabilidad de Windows
Y han sido desde INVITE español (Instituto Nacional de Ciberseguridad) el que ha detectado el problema de nivel 5 en PrintNightmare. Se trata de una vulnerabilidad 0day «de tipo ejecución remota de código (RCE), que afecta al servicio Print Spooler de Microsoft Windows«, de todas las versiones, tanto Windows 10 como las que afectan al ámbito empresarial.
Por este agujero de Seguridad puede acceder un atacante que conozca este problema, puede ejecutar un código de forma remota que llegue a manipular el ordenador y tomar el control de servidores del software de Microsoft. La mejor recomendación que han dado es la de «deshabilitar el servicio Print Spooler de Microsoft Windows», específicamente en sistemas de controladores de dominio (DC) y directorio activo (AD), en las últimas horas se ha dado un pequeño paso al descubrirse que este problema podría detenerse «restringiendo las listas de control de accesos (ACLs), para hacer que el exploit no sea efectivo».
Desde INCIBE recuerdan que «en las actualizaciones de seguridad de Microsoft de junio de 2021 se corrigió la vulnerabilidad CVE-2021-1675, que inicialmente se clasificó con severidad alta y de tipo escalada de privilegios, pero investigaciones posteriores han determinado que el servicio Print Spooler no restringe correctamente el acceso a la función RpcAddPrinterDriverEx()», que le da la posibilidad a un atacante remoto a «ejecutar código arbitrario con privilegios de SYSTEM». Esta medida es tan sólo un remedio temporal hasta que Microsoft ponga una solución como publicar un parche que cierre todas las posibilidades de acceder por este agujero.
