Microsoft ha confirmado la existencia de un 'bug' en Windows que permite ejecutar código con permisos de administrador en el sistema, después de que unos investigadores de seguridad lo hiciesen público por equivocación.
La vulnerabilidad, conocida como PrintNightmare, ha sido considerada como "crítica" por abrir la puerta de servidores de dominio con Windows a posibles atacantes, que la pueden usar para ejecutar malware en la red interna de una compañía sin ningún tipo de limitación.
Lo más curioso de este caso es cómo se ha hecho público, ya que podría haber sido resultado de una confusión entre diferentes equipos de investigadores y dos bugs distintos. A principios del mes de junio, Microsoft publicó un parche para Windows que solucionaba un problema relacionado con el servicio de cola de impresión, gracias a una investigación de un trío de especialistas chinos.
Varias semanas después, el 28 de junio, la empresa QiAnXin anunció que había encontrado una manera de aprovechar esta vulnerabilidad para conseguir un escalado de privilegios y ejecución remota de código en sistemas Windows. Para demostrarlo, publicó un vídeo en el que se muestra el ataque en funcionamiento, al que llamó PrintNightmare.
A continuación, el equipo de investigadores de ciberseguridad de Sangfor publicó un estudio técnico basado en esta vulnerabilidad, incluyendo una prueba de concepto que demostraba el funcionamiento.
Publicada por confusión
Sólo hay un problema: la vulnerabilidad que estaba usando en realidad era diferente a la descubierta y parcheada a principios de junio. La confusión viene por la similitud de ambos bugs, ya que ambos afectan a la cola de impresión, pero el parche lanzado por Microsoft no es capaz de bloquear los ataques usando el método PrintNightmare. Como resultado, Sangfor había publicado sin querer una manera de entrar en sistemas Windows que puede ser explotada por atacantes en todo el mundo.
Después de los análisis de los expertos, Microsoft ha confirmado que este se trata de un problema diferente, que ya existía antes de junio y que hasta ahora no había sido descubierto. Además, ha avisado a administradores de sistema que usan Microsoft 365 Defender que la vulnerabilidad ya está siendo usada de manera activa por atacantes.
PrintNightmare afecta a todas las versiones de Windows, y ya tiene su propio seguimiento individual respecto al anterior bug. Por lo tanto, ahora empieza la contrarreloj para solucionar este problema; Microsoft ya está trabajando en un parche, pero mientras tanto, ha recomendado a las empresas desactivar el servicio de cola de impresión, o deshabilitar la posibilidad de imprimir documentos de manera remota.
