Lectura oscura | Seguridad | Proteja el negocio



Cuando se explota activamente una vulnerabilidad explotable de forma remota que afecta a todas las versiones de Microsoft Home windows, y aún no hay ningún parche disponible, la industria de la seguridad entra en alerta máxima.

Tal fue el caso de «PrintNightmare», una vulnerabilidad en el infame servicio Windows Print Spooler que irrumpió en el centro de atención la semana pasada con la Agencia de Seguridad de Infraestructura y Ciberseguridad de los EE. UU. (CISA), el Centro de Coordinación CERT (Cert CC) y otros. aconsejando acciones urgentes al respecto.

En alertas separadas la semana pasada, CISA y CERT CC instaron a las organizaciones a deshabilitar los servicios de cola de impresión en todos los sistemas críticos, incluidos los controladores de dominio y los sistemas de administración de Energetic Listing, citando preocupaciones sobre la falla. Esas preocupaciones también se vieron exacerbadas por cierta confusión sobre si PrintNightmare period la misma falla que algunos pensaban que Microsoft ya había parcheado en una actualización de seguridad anterior.

Después de un silencio inicial, Microsoft aclaró que PrintNightmare era una falla separada de la que parcheó el 8 de junio y emitió un nuevo identificador de vulnerabilidad (CVE) para ella. Luego, el 6 de julio, la empresa lanzó una actualización de seguridad de emergencia por la falla e instó a las organizaciones a aplicarlo de inmediato.

Aquí hay una mirada más cercana a PrintNightmare y por qué ha suscitado tanta preocupación.

¿Qué es PrintNightmare?
PrintNightmare es una vulnerabilidad crítica de ejecución remota de código (RCE) en el servicio de cola de impresión de Microsoft Home windows (CVE-2021-34527). La vulnerabilidad se debe a que el servicio no restringe adecuadamente el acceso a «RpcAddPrinterDriverEx (), «una función para instalar un controlador de impresora en un sistema Windows. El código susceptible existe en todas las versiones de Windows.

Home windows Print Spooler es un software package que sirve como interfaz entre el sistema operativo Windows y una impresora. Maneja una variedad de tareas, incluida la carga de controladores de impresora y el almacenamiento en búfer de la cola y el pedido de trabajos de impresión. Microsoft lo describe como un computer software que permite que los sistemas actúen como un cliente de impresión, un cliente administrativo o un servidor de impresión.

PrintNightmare es solo una de las numerosas vulnerabilidades que se han descubierto en el servicio Home windows Print Spooler durante la última década. Investigadores de Sangfor Systems, con sede en China, descubrieron la falla y están programado para describirlo en detalle en el próximo Black Hat United states of america 2021.

Por que es Imprimir Pesadilla ¿Muy peligroso?
La vulnerabilidad PrintNightmare le brinda a un atacante autenticado una forma de obtener acceso a nivel de sistema en sistemas vulnerables, que incluyen controladores de dominio centrales y servidores de administración de Energetic Directory. Los atacantes pueden aprovechar la falla para ejecutar código arbitrario, descargar malware, crear nuevas cuentas de usuario o ver, cambiar y eliminar datos.

Algunos expertos han expresado especial preocupación por el hecho de que la falla permite que cualquier atacante con una cuenta de dominio se apodere de Lively Directory. La propia Microsoft ha dicho que «los controladores de dominio se ven afectados si el servicio de cola de impresión está habilitado». De manera related, todos los sistemas cliente y servidores que no son controladores de dominio también se ven afectados. Un exploit exitoso contra PrintNightmare puede resultar en una pérdida complete de confidencialidad, integridad y disponibilidad, advirtió la compañía.

Microsoft ha proporcionado varias soluciones, además de lanzar actualizaciones para corregir la falla en todas las versiones de Home windows. Mientras tanto, el código de prueba de concepto para explotar la vulnerabilidad está disponible públicamente y los atacantes ya lo están utilizando para atacar la falla.

El alcance de la falla es asombroso: ExtraHop dice que algunos El 93% de los entornos de Windows Print Spooler podrían ser vulnerables a PrintNightmare, lo que lo convierte en uno de los problemas de seguridad más graves desde SolarWinds.

«PrintNightmare proporciona privilegios de nivel de sistema contra los controladores de dominio a menudo a través de un canal cifrado, lo que permite a los atacantes utilizar la ejecución remota de código para instalar programas, modificar datos y crear nuevas cuentas con derechos de administrador completos», dijo Jeff Costlow, CISO de ExtraHop, en un comunicado a Dark Leer. «El servicio está habilitado de forma predeterminada en la mayoría de los clientes y plataformas de servidor de Home windows, lo que crea una enorme superficie de ataque de puntos de entrada».

¿Qué puedes hacer al respecto? Imprimir Pesadilla?
Microsoft recomienda que todas las organizaciones apliquen inmediatamente el parche contra la falla que la compañía lanzó el martes. Eso también tiene algunas soluciones alternativas sugeridas si no se pueden aplicar inmediatamente. Una es deshabilitar el servicio Print Spooler si tal opción es viable al hacerlo, se bloquearán las capacidades de impresión nearby y remota. La segunda opción es deshabilitar la impresión remota entrante para que los atacantes remotos no puedan aprovechar la falla. En este caso, la impresión regional todavía estaría disponible para un dispositivo directamente conectado, pero la impresión remota no estaría disponible por completo.

Las organizaciones podrían tomar algunas acciones de mitigación como alternativa a la desactivación de la impresión, según Microsoft. La esencia de estos pasos es reducir la superficie de ataque reduciendo el número de usuarios con derechos de impresión tanto como sea posible.

«Intente reducir la membresía tanto como sea posible, o vacíe completamente los grupos donde sea posible», dijo Microsoft.



Enlace a la noticia unique