El fallo se debe a que los investigadores de la firma de ciberseguridad Sangfor publicaron dicho PoC en lo que parece haber sido un error o falta de comunicación entre estos investigadores y Microsoft. El código de prueba fue eliminado rápidamente, pero esto no impidió que se difundiera, ya que antes de su retirada había llegado a GitHub.
Desde Sangfor tenían planeado mostrar varias vulnerabilidades de día cero en la conferencia anual de Black Hat sobre el servicio de Windows Print Spooler. Al parecer, los investigadores pensaban que Microsoft había parcheado dicho fallo, ya que la compañía había publicado parches para otro error separado de Windows Print Spooler.
Bruselas quiere crear una unidad de ciberseguridad conjunta para protegerse frente a ataques de gran escala
Leer más
LA VULNERABILIDAD ESTÁ SIENDO EXPLOTADA ACTIVAMENTE
Microsoft tardó un par de días en emitir finalmente una alerta sobre el día cero, y el medio BleepingComputer informa que la compañía advierte a los clientes que agentes externos están aprovechándose activamente. La vulnerabilidad permite que los atacantes utilicen la ejecución remota de código, por lo que los delincuentes podrían instalar programas, modificar datos y crear nuevas cuentas con derechos de administrador completos.
Los atacantes pueden instalar programas y crear cuentas con derechos de administrador
La compañía estadounidense admite que "el código que contiene la vulnerabilidad está en todas las versiones de Windows”. El servicio Print Spooler se ejecuta de forma predeterminada en Windows, incluidas las versiones cliente del sistema operativo, los controladores de dominio y Windows Server.
MICROSOFT TRABAJA EN UNA SOLUCIÓN
Microsoft se ha puesto manos a la obra para elaborar un parche lo antes posible y así tranquilizar a sus clientes. Las vulnerabilidades en el servicio Windows Print Spooler han creado problemas para los administradores durante años. El ejemplo más extremo fue el virus Stuxnet, que utilizó múltiples exploits de día cero, incluido un error de Windows Print Spooler, para destruir varias centrifugadoras nucleares iraníes hace más de una década.
LAS RECOMENDACIONES PARA EVITAR ESTOS ATAQUES
Dado que la vulnerabilidad está presente en múltiples versiones de Windows, y aún no ha sido parcheada, Microsoft anunció ciertas recomendaciones a los usuarios para restringir el acceso al servicio de cola de impresión:
- Si no tenéis impresora: Deshabilitad el servicio “Cola de impresión”.
- Si tenéis impresora: Entrad a “Editar directivas de grupo”, seleccionad “Configuración del equipo”, pinchad en “Plantillas Administrativas”, clickad en “Impresoras”, y deshabilitad la opción “Permitir que el administrador de trabajos de impresión acepte conexiones cliente”
Si (
No(
