Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Entradas populares

PostHeaderIcon Vulnerabilidades servicio cola de impresión de Windows: PrintNightmare




 La pesadilla, nunca mejor dicho, de PrintNightMare no deja de añadir nuevos episodios, en forma de nuevas vulnerabilidades que afectan a los componentes del sistema de impresión de Windows en sus diferentes versiones. El último elemento en sumarse a la lista fue la vulnerabilidad CVE-2021-36958, la cual ya fue reportada a Microsoft a finales del año pasado, si bien no ha sido hasta el afloramiento de todos los problemas con el sistema de impresión, que la compañía ha afrontado también este problema. Además el grupo de ransomware Vice Society está utilizando la vulnerabilidad para atacar empresas. Aunque finalmente Microsoft ha resulto recientemente el error PrintNightmare también en Windows 7 al cambiar la configuración de privilegios predeterminada, algo que la compañía también aplicó en Windows 10:



 la última actualización de Windows 10 corrige 44 vulnerabilidades, incluyendo PrintNightmare

   En este caso, la vulnerabilidad está relacionada con cómo se gestionan los archivos que cuentan con privilegios del sistema. Y es que, de nuevo, la falta de medidas de seguridad a la hora de ejecutar binarios supuestamente confiables en algún proceso relacionado con el sistema de impresión, es decir, lo que viene definiendo a PrintNightmare desde sus inicios, se puede traducir en la ejecución de código arbitrario, que comprometería la seguridad del sistema afectado.

De acuerdo a Benjamin Delpy, esta vulnerabilidad permite a los actores de amenazas obtener rápidamente privilegios de SYSTEM simplemente conectándose a un servidor de impresión remoto, como se muestra en este video


   En este caso, eso sí, la vulnerabilidad resulta algo menos preocupante, pues a diferencia de otras englobadas en PrintNightmare, en este caso es de índole exclusivamente local, es decir, que no puede ser explotada remotamente. Es necesario que todo el ataque sea perpetrado y efectuado de manera local, en el sistema a atacar. Esto, sin duda, reduce los riesgos, pero no los erradica, y por ejemplo en un ataque en el que el atacante consiga desplazarse lateralmente hasta el servidor a atacar, o a un sistema de confianza del mismo, sí que podría llegar a armar un ataque.

Todavía no hay solución, pero Microsoft ha afirmado que está trabajando en ello y que la publicará a la mayor brevedad, lo que es de agradecer. Mientras tanto, lo mejor es deshabilitar las funciones de servidor de impresión en todos aquellos equipos en los que no sea necesaria y, en aquellos en los que sí, revisar todas las políticas para reducir a lo imprescindible los permisos de ejecución de software por parte del sistema de impresión. De nuevo, la misma solución que ante el resto de amenazas de PrintNightmare.

Más en el medio plazo, es evidente que Microsoft tiene que hacer algo con el sistema de impresión de Windows. Los hallazgos de estos últimos meses nos han dejado con el sabor de boca de que hablamos de un componente tremendamente inseguro, y en base a esto tiene sentido pensar que PrintNightmare todavía se prolongará más en el tiempo, con nuevas vulnerabilidades que degradarán todavía más la ya poca confianza que tenemos en el sistema de impresión de Windows.

Evidentemente es una tarea muy compleja, pero tengo plena confianza en que los responsables de Microsoft ya son plenamente conscientes de este problema, y de la necesidad de devolver la confianza a los usuarios, algo que probablemente ya no se pueda lograr simplemente con parches para los problemas a medida que vayan apareciendo. Y soy consciente de que no es buen momento, PrintNightmare ha aparecido justo de la mano del lanzamiento de Windows 365 y el inminente lanzamiento de Windows 11, lo que puede retrasar las labores en este sentido. Pero es algo que tienen que hacer más pronto que tarde. 


Ransomware y vulnerabilidad PrintNightMare

Un par de meses después de descubrirse la vulnerabilidad PrintNightmare y varios intentos de solucionarla por parte de Microsoft (publicando para ello unos cuantos parches de seguridad durante las últimas semanas) los delincuentes han empezado a aprovechar este fallo de seguridad en la cola de impresión de Windows para infectar a sus víctimas con ransomware.

Uno de los primeros intentos de los grupos de ransomware de aprovechar esta vulnerabilidad se detectó a mediados del pasado mes de julio cuando investigadores de CrowdStrike detectaron intentos de explotarla por parte de ransomware Magniber. Este malware se encuentra activo desde octubre de 2017, habiendo alcanzado picos de actividad en las últimas semanas, y se centra en víctimas localizadas en países asiáticos como China, Corea del Sur, Singapur o Malasia, entre otros.

Durante los últimos días también se ha observado como otra familia de ransomware conocida como The Vice Society está aprovechando la vulnerabilidad PrintNightmare para realizar movimientos laterales en las redes corporativas de sus víctimas. En esta ocasión, fueron los investigadores de Cisco Talos quienes observaron a los operadores de este ransomware dos de los fallos de seguridad asociados a esta vulnerabilidad.

Además de estos dos casos, los manuales que se entregan a los afiliados del ransomware Conti que se filtraron recientemente y también mencionan el aprovechamiento de esta vulnerabilidad por lo que es de esperar que los operadores detrás de esta amenaza la exploten en breve, si no lo están haciendo ya.


Fuentes:

https://www.muyseguridad.net/2021/08/17/printnightmare-otra-vulnerabilidad/
https://blogs.protegerse.com/2021/08/16/la-vulnerabilidad-printnightmare-esta-siendo-explotada-por-grupos-de-ransomware/


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.