Imagen: iStockphoto/ArtHead-

Microsoft finalmente corrigió la última de una serie de vulnerabilidades de seguridad en su servicio Windows Print Spooler que podría haber permitido a los atacantes controlar de forma remota un sistema afectado e instalar malware o crear nuevas cuentas. El martes, la compañía lanzó su línea de parches de agosto, que incluía una solución para la vulnerabilidad de ejecución remota del código del administrador de trabajos de impresión para abordar este problema específico.

VER: Los 10 principales ciberataques de la década (PDF gratuito) (República Tecnológica)

Esta no es la primera vez que Microsoft intenta solucionar errores persistentes con el servicio Windows Print Spooler. En junio, la empresa ofreció un parche para corregir una falla.

Luego, a principios de julio, implementó un parche de emergencia para otra vulnerabilidad de la cola de impresión llamada PrintNightmare. Esta falla, que afectaba a las 40 versiones de Windows, incluso las más antiguas y no admitidas, implicaba un problema con RpcAddPrinterDriverEx(), una función que permite a los usuarios instalar o actualizar un controlador de impresión.

Si bien es de esperar que el último parche corrija estas vulnerabilidades de la cola de impresión para siempre, hay una desventaja importante. Ahora necesita privilegios de administrador para instalar un controlador de impresión. Es probable que esto sea un problema en organizaciones donde los usuarios no tienen derechos de administrador específicamente por razones de seguridad. Ahora, la mesa de ayuda y el personal de TI deberán intervenir cada vez que se necesite instalar un nuevo controlador para una impresora de red.

"Las actualizaciones de Windows lanzadas el 10 de agosto de 2021 y posteriores requerirán, de manera predeterminada, privilegios administrativos para instalar controladores", dijo Microsoft en un nuevo documento de soporte. "Hemos realizado este cambio en el comportamiento predeterminado para abordar el riesgo en todos los dispositivos de Windows, incluidos los dispositivos que no usan Point and Print o Print".

Los usuarios ya no podrán instalar nuevas impresoras o actualizar las existentes utilizando controladores de impresión desde una computadora o servidor remoto, dijo Microsoft. Un aviso del Centro de respuestas de seguridad de Microsoft profundiza en este enigma y dice que el riesgo de seguridad justifica el cambio. Los clientes pueden deshabilitar este requisito a través de un pirateo del registro, pero la gente de MSRC dijo que eso lo expondría a vulnerabilidades conocidas en el servicio Windows Print Spooler.

"El TLDR (Too Long Didn't Read) es que Microsoft finalmente se cansó de errores como CVE-2021-3448 y decidió permitir que los administradores solo instalen controladores de impresión", Jerry Gamblin, director de investigación de seguridad de Kenna Security (ahora parte de Cisco), dijo TechRepublic a TechRepublic. "Parece que Microsoft está admitiendo la derrota en su capacidad para hacer que la cola de impresión sea lo suficientemente segura para que la controlen los usuarios que no son administradores, y de esa manera pueden recurrir a 'debes ser un administrador' en futuros errores, lo que los hace menos impactantes". .

Más allá de las correcciones de la cola de impresión, las actualizaciones de Patch Tuesday de este mes corrigen 51 vulnerabilidades diferentes, que Gamblin calificó como un mes "tranquilo". El rango incluye 17 vulnerabilidades de elevación de privilegios, 13 vulnerabilidades de ejecución remota de código y dos vulnerabilidades de denegación de servicio.

"Se informa que Microsoft explota CVE-2021-36948, una vulnerabilidad de elevación de privilegios en el servicio Windows Update Medic", dijo Gamblin. "Sin embargo, aún no hemos visto ninguna evidencia de esto en Kenna Security. Los tres días cero de este mes son lo que yo llamo 'BigFoot Zero Days', ya que no ha habido confirmación pública. En general, este mes finalmente no tiene sorpresas que deban mantenerlo de arreglar su cadencia de parche normal.