PrintDemon es una vulnerabilidad que ataca el sistema Windows. La vulnerabilidad se identificó en Windows Print Spooler. La vulnerabilidad fue descubierta e informada por primera vez por dos investigadores Peleg Hadar y Tomer Bar de SafeBreach Labs. Pero el nombre fue acuñado por los investigadores Alex Ionescu y Yarden Shafir. Microsoft lo aborda como » CVE-2020-1048 – Windows Print Spooler Elevation of Privilege Vulnerability » y lo describe como:
” Existe una vulnerabilidad de elevación de privilegios cuando el servicio de cola de impresión de Windows permite incorrectamente la escritura arbitraria en el sistema de archivos. Un atacante que explotara con éxito esta vulnerabilidad podría ejecutar código arbitrario con privilegios de sistema elevados. Un atacante podría entonces instalar programas; ver, cambiar o eliminar datos; o cree nuevas cuentas con todos los derechos de usuario. Para explotar esta vulnerabilidad, un atacante tendría que iniciar sesión en un sistema afectado y ejecutar una secuencia de comandos o una aplicación especialmente diseñada”.
¿Qué es la cola de impresión?
Print spooler es uno de los componentes importantes de la interfaz de impresión que gestiona el proceso de impresión. Es un archivo ejecutable. Después de recuperar la ubicación correcta del controlador, carga el controlador. La programación de trabajos de impresión también es otra función de gestión realizada por el administrador de trabajos de impresión. El metarchivo mejorado (EMF) es el tipo de datos predeterminado para un trabajo de impresión. Los otros tipos de datos compatibles con el administrador de trabajos de impresión son texto ASCII y datos sin formato.
¿Qué tan vulnerable es el PrintDemon?
Según el informe publicado por los investigadores, esta vulnerabilidad afectará a todas las versiones de Windows que se remontan a 1996. En opinión del investigador Alex Ionescu, un atacante puede explotar esta vulnerabilidad con el siguiente comando único de PowerShell:
Add-PrinterPort -Name c:\windows\system32\ualapi.dll
Afirma que en un sistema sin parches, el comando PowerShell mencionado anteriormente instalará una puerta trasera persistente y esto no funcionará incluso después de que intentemos parchearlo. Pero según Brendan Watters, un investigador de Rapid7, y algunos otros blogs, es imposible explotar esta vulnerabilidad con un comentario de una sola línea.
Esta vulnerabilidad no se puede activar de forma remota a través de Internet. Un atacante puede explotar el sistema de destino solo si ya ha iniciado sesión en ese sistema. Según lo declarado por Microsoft, “Un atacante que tiene acceso al sistema a nivel de usuario podría ejecutar código arbitrario con privilegios elevados del sistema. El hacker podría entonces instalar programas; ver, modificar o eliminar datos; o cree nuevas cuentas con todos los derechos de usuario.
Prevención o arreglo
Microsoft corrigió la vulnerabilidad y lanzó las correcciones con el martes de parches de mayo de 2020 de Microsoft. Con otras actualizaciones, los usuarios recibirán el parche automáticamente. De lo contrario, los usuarios pueden descargar manualmente las correcciones para proteger su sistema rápidamente.
Publicación traducida automáticamente
Artículo escrito por swetha_vazhakkat y traducido por Barcelona Geeks. The original can be accessed here. Licence: CCBY-SA