Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Parche incompleto de Microsoft para PrintNightmare NO soluciona la vulnerabilidad


 Microsoft publicó una actualización de emergencia para corregir una vulnerabilidad en el servicio de Print Spooler de Windows (servicio de cola de impresión) que está siendo explotada activamente. Apodada PrintNightmare, la vulnerabilidad zero-day afecta a todas las versiones del sistema operativo Microsoft Windows desde Windows 7 en adelante.



CVE-2021-34527, la vulnerabilidad de ejecución remota de código fue catalogada de alta severidad y recibió una puntuación de 8.2 sobre 10 en la escala Common Vulnerability Scoring System (CVSS). El fallo fue considerado tan grave que Microsoft decidió emitir un parche fuera de banda, en lugar de esperar al lanzamiento de su paquete habitual de actualizaciones que realiza el segundo martes de cada mes, más conocido como Patch Tuesday.

“La vulnerabilidad de ejecución remota de código existe cuando el servicio Windows Print Spooler realiza de manera indebida operaciones con archivos privilegiados. Un atacante que logre explotar esta vulnerabilidad de manera exitosa podría ejecutar código arbitrario con privilegios de SISTEMA. De esta manera, un atacante podría instalar programas; ver, cambiar o eliminar datos; o crear nuevas cuentas con todos los permisos de usuario”, se lee en la descripción de la vulnerabilidad realizada por Microsoft.





La actualización más reciente se lanzó para parchear versiones de Windows que no fueron incluidas en la anterior actualización fuera de banda que se lanzó el pasado 6 de julio, como es el caso de Windows Server 2012, Windows Server 2016 y Windows 10, versión 1607.

Microsoft publicó parches para PrintNightmare para distintas versiones de Windows, incluidas algunas que oficialmente ya no cuentan con soporte técnico. Son los siguientes:

Sin embargo, algunos investigadores notaron rápidamente que el parche no corrige por completo la vulnerabilidad. De hecho, el gigante tecnológico de Redmond también señaló que, en determinadas circunstancias, los sistemas seguirán siendo vulnerables: “Teniendo NoWarningNoElevationOnInstall configurado en 1 hace que su sistema sea vulnerable por diseño”. Sin embargo, también publicó workarounds (soluciones alternativas) para el fallo.

Después del lanzamiento de la actualización, los investigadores de seguridad Matthew Hickey, cofundador de Hacker House, y Will Dormann, analista de vulnerabilidades de CERT/CC, determinaron que Microsoft solo solucionó el componente de ejecución remota de código de la vulnerabilidad. 

Sin embargo, el malware y los actores de amenazas aún podrían usar el componente de escalamiento de privilegios local para obtener privilegios de SYSTEM en sistemas vulnerables para versiones antiguas de Windows y versiones actuales con la política Point and Print habilitada. 

A medida que más investigadores comenzaron a modificar sus exploits y probar el parche, se determinó que se podría omitir todo el parche por completo para lograr tanto el escalamiento de privilegios locales (LPE) como la ejecución remota de código (RCE). Según el creador de Mimikatz, BenjaminDelpy, el parche podría omitirse completamente para lograr la ejecución remota de código. 

0patch también ha lanzado un microparche gratuito para PrintNightmare que ha podido bloquear los intentos de explotar la vulnerabilidad. Sin embargo, advierten contra la instalación del parche del 6 de julio de Microsoft, ya que no solo no protege contra las vulnerabilidades, sino que modifica el archivo 'localspl.dll', por lo que el parche de 0Patch dejaría de funcionar: "Si está usando 0patch contra PrintNightmare, ¡NO aplique la actualización de Windows del 6 de julio!" . 

   Se recomienda a los usuarios y administradores de Windows que realicen una de las siguientes acciones:

  • No instalar el parche del 6 de julio e instalar el microparche de 0Patch en su lugar, hasta que se publique un parche que funcione de Microsoft.
  • Deshabilitar el Spooler de impresión siguiendo las instrucciones aquí.

PrintNightmare es una vulnerabilidad en Windows Print Spooler causada por una falta de verificación de ACL (Lista de Control de Acceso) en las funciones de la API de Windows AddPrinterDriverEx(), RpcAddPrinterDriver() y RpcAsyncAddPrinterDriver() que se utilizan para instalar un controlador de impresora local o remoto. Con PrintNightmare, se puede omitir una verificación de permisos para instalar una DLL maliciosa en la carpeta C:\Windows\System32\spool\drivers que luego el exploit carga como un controlador de impresión para lograr la ejecución remota de código o el escalamiento local de privilegios.

Si bien el parche OOB de Microsoft se centró en bloquear la explotación remota de la vulnerabilidad, Hickey afirma que no abordaron la verificación de ACL subyacente que permite la creación de exploits modificados. 

Fuentes:

https://www.welivesecurity.com/la-es/2021/07/09/microsoft-parche-vulnerabilidad-zero-day-printnightmare/

https://blog.segu-info.com.ar/2021/07/el-parche-printnightmare-incompleto-de.html


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.