por Lamentablemente el peligroso exploit PrintNightmare que afecta a varias versiones del sistema operativo Windows, sigue siendo una grave amenaza, aún después de que Microsoft lanzó un parche que según la empresa solucionaba el problema.
Nada más lejos de la realidad, ya que si bien bloquea una forma de ataque, este exploit ofrece otra vía de ataque para los cibercriminales.
El exploit PrintNightmare, tiene dos elementos que pueden ser utilizados por atacantes:
- Ejecución remota de código (RCE por sus siglas en inglés)
- Escalada de privilegios locales (LPE por sus siglas en inglés)
El parche lanzado hace unos días atrás por Microsoft, bloquea la primera forma de ataque RCE, para no la segunda.
De acuerdo a un reporte de Betanews, el investigador de seguridad informática Will Dormann, luego de instalar el parche de seguridad de Microsoft y probarlo, descubrió que el parche funcionó a medias, ya que si bien soluciona la Ejecución Remota de Código, no funciona con la otra vía de ataque (RCE), como bien lo indica en el siguiente tweet.
And based on testing of the first VM of mine that completed the install of the update (Windows 8.1), it looks like it works against both the SMB and the RPC variants in the @cube0x0 github repo. I don't think that LPE is fixed, though. @hackerfantastic 's PoC still works.
😕 pic.twitter.com/tDQpagUTRf— Will Dormann (@wdormann) July 6, 2021
Además el investigador Benjamin Delpy publicó vídeo de un sistema que tiene instalado el parche publicado por Microsoft, que sigue vulnerable al exploit Nightmare:
Dealing with strings & filenames is hard😉
New function in #mimikatz 🥝to normalize filenames (bypassing checks by using UNC instead of \servershare format)So a RCE (and LPE) with #printnightmare on a fully patched server, with Point & Print enabled
> https://t.co/Wzb5GAfWfd pic.twitter.com/HTDf004N7r
— 🥝🏳️🌈 Benjamin Delpy (@gentilkiwi) July 7, 2021
Así que solo resta esperar a que Microsoft vuelva a publicar un nuevo parche y esperar que este funcione!
