Windows 10: el parche oficial de Microsoft para PrintNightmare no funciona

De mal en peor. A inicios de julio, una fuerte noticia tomó por sorpresa a la comunidad de Microsoft: el descubrimiento de una grave vulnerabilidad en todos los sistemas Windows que permite a cualquier atacante ejecutar código de forma remota en una PC, todo a partir de un error en la cola de impresión del sistema. Pese a que los de Redmond lanzaron ya un parche de emergencia, los reportes indican que este no funciona y no puede defender.

El hecho ya había sido advertido por un buen número de portales especializados, desde donde señalaron que el parche de emergencia era uno incompleto. A tan solo horas de su lanzamiento el pasado 7 de julio, miles de usuarios y especialistas descubrieron que este solo impedía la ejecución de código remoto, pero no el problema de raíz: la escalada de privilegios a nivel local.

Ahora, tan solo un día después, se ha reafirmado que el parche de Microsoft no solo es incompleto, sino que puede ser rápidamente sorteado por algunos exploits. Los ataques LPE (de escalada de privilegios local) no son detenidos por la solución oficial. Como consecuencia, la ejecución de código remoto todavía es posible.

Así lo ha revelado también el creador del software de ciberseguridad Mimikatz, Benjamin Delpy. En sus redes sociales, reveló que el fallo principal de Microsoft es que la directiva de restricciones de apuntar e imprimir sigue habilitada. Tan solo ese punto permite que se pueda seguir generando ataques RCE (de código remoto).

Lo más grave del asunto es que el parche oficial no solo es ineficaz, sino que también deshabilita la única opción viable que tenían los usuarios. Se trataba de una descarga gratuita no oficial creada por 0patch. A diferencia de la alternativa hecha por Redmond, este sí evitaba los ataques de código remoto, pero fue deshabilitado debido a que en Redmond alteraron el fichero localspl.dll.

El propio desarrollador de esta ya no útil alternativa ha usado sus redes sociales para advertirles de no instalar la actualización de Microsoft, pues no tienen planes de readaptar su parche para la nueva dll. “Si están usando el parche de 0patch contra PrintNightmare, no apliquen la actualización de Windows Update del 6 de julio. No solo no repara el vector de ataque local, tampoco lo hace con el vector remoto. Incluso, cambia el localspl.dll, que provoca que nuestras soluciones, que sí funcionan, ya no tengan efecto”, revelaron, esperanzándose en los updates de los martes para Windows .

La gravedad del asunto no es menor. El error PrintNightmare permite que cualquier hacker pueda tomar posesión completa de nuestra computadora. Por su parte, Microsoft señaló que está investigando los reportes y ha exhortado a los usuarios a comprobar la siguiente configuración de registro. Las próximas entradas deben estar en un valor de cero o no está definida:

• HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
• NoWarningNoElevationOnInstall = 0 (DWORD) or not defined (default setting)
• NoWarningNoElevationOnUpdate = 0 (DWORD) or not defined (default setting).