no funciona y desactiva el único parche no oficial disponible

Ayer les dijimos que Microsoft había lanzado una actualización de seguridad para parchear la vulnerabilidad PrintNightmare en (casi) todas las versiones modernas de Windows.

En ese mismo artículo también explicamos que dicho parche estaba en realidad incompleto, porque horas después de su lanzamiento se descubrió que solo impidió la ejecución remota de código, pero no la escalada de privilegios localmente.


Bueno, un día después quedó claro que el parche de Microsoft estaba más que incompleto: Varios investigadores de ciberseguridad han descubierto que varios exploits pueden eludir por completo el parche., llevando a cabo ataques tanto LPE (escalada de privilegios locales) como RCE (ejecución remota de código).

Según Benjamin Delpy, creador de la herramienta de ciberseguridad Mimikatz, el mero hecho de que la directiva ‘Point and Print Restrictions’ permanezca habilitada permite seguir ejecutando ataques RCE:

directiva

Matthew Hickey, cofundador de Hacker House, le dijo a BleepingComputer que sigue aconsejar a los administradores del sistema y a los usuarios que simplemente deshabiliten el servicio de cola de impresión para proteger sus servidores y estaciones de trabajo de Windows hasta que se publique un parche funcional.

La parcela del jardinero, que ni come ni deja comer

El parche de Microsoft, de hecho, no se limita a no parchear la vulnerabilidad, sino que evita que el único parche disponible hasta ahora funcione: [el microparche no-oficial (pero gratuito) de 0Patch](El parche de seguridad de Microsoft contra PrintNightmare falló: no funciona y deshabilita el único parche no oficial disponible), que resolvió la vulnerabilidad de PrintNightmare. Todo se debe al hecho de que el parche oficial altera el archivo de Windows localspl.dll, por lo que la solución 0Patch ya no es útil.

Porque el "parche el martes" Microsoft se ha convertido en la demostración de que actualizar la PC es muy importante

0Parche ahora advierte a los usuarios que no instalen la actualización de seguridad lanzada por Microsoft, porque no planean rehacer su parche para acomodar el nuevo dll parcheado. “Con suerte”, afirman, “Patch Tuesday solucionará la función defectuosa de IsLocalFile”.

Por su parte, Microsoft está “investigando afirmaciones” de expertos en ciberseguridad sobre la eficacia de su parche. Y, según Neowin, ha lanzado un aviso que, para proteger el sistema, los usuarios deben verificar “que las siguientes configuraciones de registro [de Windows] está establecido en 0 o no está definido “:

  • HKEY_LOCAL_MACHINE SOFTWARE Políticas Microsoft Windows NT Printers PointAndPrint
  • NoWarningNoElevationOnInstall = 0 (DWORD) o no definido (ajuste predeterminado)
  • NoWarningNoElevationOnUpdate = 0 (DWORD) o no definido (ajuste predeterminado)



Source link

Leave a Comment