Lectura oscura | Seguridad | Proteja el negocio



La Agencia de Infraestructura y Ciberseguridad del Departamento de Seguridad Nacional de EE. UU. (CISA) y otros instan a las organizaciones a deshabilitar inmediatamente el servicio de cola de impresión de Home windows en controladores de dominio, sistemas de administración de Active Listing y otros dispositivos que no se utilizan para imprimir debido a una vulnerabilidad crítica en el servicio.

Microsoft emitió parches para una falla de ejecución remota de código (RCE) (CVE-2021-1675) para todas las versiones de Home windows afectadas el 8 de junio. Pero la actualización ha demostrado ser ineficaz contra los exploits disponibles públicamente que apuntan a la vulnerabilidad, dijo el Centro de Coordinación (CC) del CERT en un nota de vulnerabilidad

«Si bien Microsoft ha lanzado una actualización para CVE-2021-1675, es importante darse cuenta de que esta actualización NO aborda las vulnerabilidades públicas que también se identifican como CVE-2021-1675», dijo.

Por el momento, al menos, no parece haber una solución práctica al problema que no sea deshabilitar y detener el servicio Print Spooler en Home windows.

«CISA anima a los administradores a deshabilitar el servicio de cola de impresión de Windows en los controladores de dominio y los sistemas que no imprimen», CISA dijo en una alerta.

La vulnerabilidad denominada «PrintNightmare» en Home windows Print Spooler básicamente le da a cualquier usuario con una cuenta standard la capacidad de obtener acceso de nivel de administrador en cualquier sistema que ejecute Home windows Print Spooler. La vulnerabilidad se debe a una falla del servicio para restringir adecuadamente el acceso a una función que se utiliza para instalar un controlador de impresora en un sistema.

Esto le da a cualquier usuario autenticado la capacidad de llamar a la función y «especificar un archivo de controlador que vive en un servidor remoto», dijo CERT CC. «Esto da como resultado que el servicio de cola de impresión spoolsv.exe ejecute código en un archivo DLL arbitrario con privilegios de SISTEMA», señaló.

PrintNightmare es solo una de las muchas otras fallas que los investigadores de seguridad han descubierto a lo largo de los años en Print Spooler, un servicio para administrar trabajos de impresión que ha estado disponible en prácticamente todos los sistemas Home windows durante al menos dos décadas. El exploit Stuxnet desarrollado en Estados Unidos que se utilizó para paralizar las operaciones en la instalación de enriquecimiento de uranio de Irán en Natanz en julio de 2010 sigue siendo fácilmente el ataque más conocido que involucra un error de Print Spooler.

Desde entonces, el servicio ha sido blanco de muchos otros ataques. El año pasado, los investigadores de Black Hat Usa revelaron tres fallas críticas de día cero en Print Spooler que, entre otras cosas, permitieron a los atacantes lanzar ataques de denegación de servicio contra sistemas vulnerables.

PrintNightmare en sí es un defecto que un trío de investigadores de seguridad de Sangfor Systems de China detallará en el Black Hat Usa de este año. La falla es uno de los múltiples errores de día cero que los investigadores afirman haber descubierto durante una búsqueda de fallas en Spooler durante meses que comenzó con ellos eludiendo con éxito un parche que Microsoft había emitido para una vulnerabilidad anterior en la tecnología. Su investigación mostró que Spooler sigue siendo una buena superficie de ataque, con «bombas ocultas que podrían provocar desastres, «según los investigadores.

Los investigadores eliminaron el código de prueba de explotación para PrintNightmare en GitHub, pero rápidamente lo borró después del retroceso de la comunidad de seguridad. Pero para entonces, el repositorio de GitHub ya estaba clonado, lo que significa que el código está disponible públicamente para los atacantes. Trusec, una de las varias empresas que han probado el PoC, dice fue capaz de ejecutar el exploit «contra un controlador de dominio completamente parcheado que ejecuta Home windows Server 2019 a través de la red, utilizando una cuenta de dominio ordinary».

«Un atacante con una cuenta de dominio typical puede apoderarse de todo el Energetic Listing en un simple paso» y en cuestión de segundos, dijo Trusec. La empresa ha proporcionado lo que dice es un solución temporal para organizaciones que necesitan absolutamente mantener la cola de impresión en funcionamiento.

Pérdida complete de confidencialidad, integridad y disponibilidad
Microsoft hasta ahora, no, al menos públicamente, respondió a la advertencia de CISA oa las preocupaciones de que su parche no funciona contra los exploits. La compañía no respondió de inmediato a una solicitud en busca de comentarios sobre la advertencia de CISA.

Microsoft ha previamente describió la falla ya que requiere acceso regional y es relativamente fácil de explotar.

«No existen condiciones de acceso especializadas o circunstancias atenuantes. Un atacante puede esperar un éxito repetible contra el componente vulnerable», señaló la compañía.

La explotación exitosa requiere cierto nivel de interacción del usuario, dijo la compañía. Pero un ataque exitoso a través de la falla puede resultar en una «pérdida whole» de confidencialidad, integridad y disponibilidad del sistema.

En un comunicado, Boris Larin, investigador senior de seguridad de Kaspersky, dijo que la vulnerabilidad es seria porque permite que un atacante eleve privilegios en la computadora neighborhood o obtenga acceso a otras computadoras en la red.

«Al mismo tiempo, esta vulnerabilidad es generalmente menos peligrosa que, digamos, las vulnerabilidades de día cero recientes en Microsoft Trade, principalmente porque para explotar PrintNightmare, los atacantes ya deben estar en la pink corporativa», dijo.





Enlace a la noticia primary