Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
▼
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
▼
julio
(Total:
52
)
- Las 30 vulnerabilidades más explotadas en 2020 y 2021
- Dos mujeres hackearon cajeros automáticos con una ...
- La Unión Europea impone multa récord a Amazon con ...
- Dos detenidos por acosar a niñas menores a través ...
- Contratistas de defensa de E.U. fueron engañados p...
- BlackMatter y LockBit 2.0: novedades en el mundo d...
- Supuesta filtración 4 billones de teléfonos de Clu...
- Vulnerabilidades en el router de fibra HGU Askey d...
- Actualizaciones de seguridad de Apple para iOS, iP...
- Diferencias GPUs NVIDIA RTX vs GTX
- Clonar Disco Duro HDD o Unidad SSD con CloneZilla
- Nuevo ataque PetitPotam permite hackear dominios d...
- Quién es Shalev Hulio, el militar responsable de P...
- El 97% de los emails que usan los funcionarios Esp...
- DuckDuckGo presenta "Email Protection", un servici...
- Detenido en Estepona responsable hackear más de 1...
- Grave vulnerabilidad local kernel sistema de fiche...
- Nueva vulnerabilidad en Windows permite elevación ...
- WhatsApp permitirá activar el cifrado de la copia ...
- Estados Unidos acusa formalmente a 4 ciudadanos Ch...
- Análisis forense víctimas de Pegasus del grupo NSO...
- Grave vulnerabilidad ejecución remota de código en...
- ASIC para minar criptomonedas
- Las 3.800 PS4 confiscadas en Ucrania no minaban cr...
- Microsoft revela que ciudadanos en Cataluña han si...
- Hackean las cuentas de Twitter y Facebook de La Se...
- Steam Deck: Valve presenta consola portátil para j...
- Documentos maliciosos Excel 4.0 XLM Macros
- Detenidas en España 16 personas por estafar 3,5 mi...
- Actualizaciones de seguridad productos Microsoft, ...
- Gmail quiere acabar con el phishing gracias al BIMI
- Intervenido en Málaga un dron de 4,35 metros de en...
- Mozilla VPN ya está disponible en España
- Fallo de seguridad en la web Vacunación Covid de C...
- Herramientas Endpoint Detection and Response EDR
- Alternativas correo Gmail basadas en la privacidad
- Descubren a un conductor de contrabando con 256 CP...
- ChatControl: El Parlamento Europeo aprueba la vigi...
- Parche incompleto de Microsoft para PrintNightmare...
- Error en la web de Sanidad Madrid expone datos pri...
- Descubren miles de Bases de Datos desprotegidas en...
- Cifrado por hardware unidades SSD (SED)
- Ingeniero de Microsoft consiguió robar 10 millones...
- WhatsApp ya permite enviar fotografías y vídeos qu...
- Descubren 9 aplicaciones Android que roban credenc...
- Ciberataque global del ransomware REvil afecta a m...
- Publicada herramienta descifrado gratuita para víc...
- Europol cierra servicio de VPN DoubleVPN utilizado...
- Operadores de Telefonía añaden enlaces publicidad ...
- 30 millones ordenadores Dell vulnerables por culpa...
- Grupo MASMOVIL España hackeado por el ransomware d...
- Grave vulnerabilidad en el servicio de impresión d...
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
iperf3 es la última versión del popular programa iperf para medir el ancho de banda entre dos o más equipos en red local o Internet . Es...
-
A finales del mes de agosto hablábamos de que los legisladores estadounidense habían solicitado la investigación de TP-Link . Y así, ya ten...
Parche incompleto de Microsoft para PrintNightmare NO soluciona la vulnerabilidad
Microsoft publicó una actualización de emergencia para corregir una vulnerabilidad en el servicio de Print Spooler de Windows (servicio de cola de impresión) que está siendo explotada activamente. Apodada PrintNightmare, la vulnerabilidad zero-day afecta a todas las versiones del sistema operativo Microsoft Windows desde Windows 7 en adelante.
CVE-2021-34527, la vulnerabilidad de ejecución remota de código fue catalogada de alta severidad y recibió una puntuación de 8.2 sobre 10 en la escala Common Vulnerability Scoring System (CVSS). El fallo fue considerado tan grave que Microsoft decidió emitir un parche fuera de banda, en lugar de esperar al lanzamiento de su paquete habitual de actualizaciones que realiza el segundo martes de cada mes, más conocido como Patch Tuesday.
“La vulnerabilidad de ejecución remota de código existe cuando el servicio Windows Print Spooler realiza de manera indebida operaciones con archivos privilegiados. Un atacante que logre explotar esta vulnerabilidad de manera exitosa podría ejecutar código arbitrario con privilegios de SISTEMA. De esta manera, un atacante podría instalar programas; ver, cambiar o eliminar datos; o crear nuevas cuentas con todos los permisos de usuario”, se lee en la descripción de la vulnerabilidad realizada por Microsoft.
La actualización más reciente se lanzó para parchear versiones de Windows que no fueron incluidas en la anterior actualización fuera de banda que se lanzó el pasado 6 de julio, como es el caso de Windows Server 2012, Windows Server 2016 y Windows 10, versión 1607.
Microsoft publicó parches para PrintNightmare para distintas versiones de Windows, incluidas algunas que oficialmente ya no cuentan con soporte técnico. Son los siguientes:
- KB5004945: Windows 10 20H1, 20H2 y 21H
- KB5004946: Windows 10 versión 1909
- KB5004947: Windows 10 versión 1809 y Windows Server 2019
- KB5004949: Windows 10 versión 1803
- KB5004950: Windows 10 versión 1507
- KB5004951:Windows 7 SP1 y Windows Server 2008 R2 SP1
- KB5004958: Windows 8.1 y Windows Server 2012
- KB5004959: Windows Server 2008 SP2
Sin embargo, algunos investigadores notaron rápidamente que el parche no corrige por completo la vulnerabilidad. De hecho, el gigante tecnológico de Redmond también señaló que, en determinadas circunstancias, los sistemas seguirán siendo vulnerables: “Teniendo NoWarningNoElevationOnInstall configurado en 1 hace que su sistema sea vulnerable por diseño”. Sin embargo, también publicó workarounds (soluciones alternativas) para el fallo.
Después del lanzamiento de la actualización, los investigadores de seguridad Matthew Hickey, cofundador de Hacker House, y Will Dormann, analista de vulnerabilidades de CERT/CC, determinaron que Microsoft solo solucionó el componente de ejecución remota de código de la vulnerabilidad.
Sin embargo, el malware y los actores de amenazas aún podrían usar el componente de escalamiento de privilegios local para obtener privilegios de SYSTEM en sistemas vulnerables para versiones antiguas de Windows y versiones actuales con la política Point and Print habilitada.
A medida que más investigadores comenzaron a modificar sus exploits y probar el parche, se determinó que se podría omitir todo el parche por completo para lograr tanto el escalamiento de privilegios locales (LPE) como la ejecución remota de código (RCE). Según el creador de Mimikatz, BenjaminDelpy, el parche podría omitirse completamente para lograr la ejecución remota de código.
0patch también ha lanzado un microparche gratuito para PrintNightmare que ha podido bloquear los intentos de explotar la vulnerabilidad. Sin embargo, advierten contra la instalación del parche del 6 de julio de Microsoft, ya que no solo no protege contra las vulnerabilidades, sino que modifica el archivo 'localspl.dll', por lo que el parche de 0Patch dejaría de funcionar: "Si está usando 0patch contra PrintNightmare, ¡NO aplique la actualización de Windows del 6 de julio!" .
Se recomienda a los usuarios y administradores de Windows que realicen una de las siguientes acciones:
- No instalar el parche del 6 de julio e instalar el microparche de 0Patch en su lugar, hasta que se publique un parche que funcione de Microsoft.
- Deshabilitar el Spooler de impresión siguiendo las instrucciones aquí.
PrintNightmare es una vulnerabilidad en Windows Print Spooler causada por una falta de verificación de ACL (Lista de Control de Acceso) en las funciones de la API de Windows AddPrinterDriverEx(), RpcAddPrinterDriver() y RpcAsyncAddPrinterDriver() que se utilizan para instalar un controlador de impresora local o remoto. Con PrintNightmare, se puede omitir una verificación de permisos para instalar una DLL maliciosa en la carpeta C:\Windows\System32\spool\drivers que luego el exploit carga como un controlador de impresión para lograr la ejecución remota de código o el escalamiento local de privilegios.
Si bien el parche OOB de Microsoft se centró en bloquear la explotación remota de la vulnerabilidad, Hickey afirma que no abordaron la verificación de ACL subyacente que permite la creación de exploits modificados.
Fuentes:
https://blog.segu-info.com.ar/2021/07/el-parche-printnightmare-incompleto-de.html
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.