Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
▼
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
▼
agosto
(Total:
49
)
- Especificaciones y características PCI-Express 6.0
- Consejos básicos seguridad para evitar malware en ...
- Estudio demuestra que el 40% del código generado p...
- Grave vulnerabilidad afecta base datos Cosmos util...
- El kernel de Linux cumple 30 años
- Hackea más de 300 cuentas de iCloud para robar 620...
- Samsung puede bloquear remotamente televisores rob...
- Obtener privilegios de administrador en Windows 10...
- Plataforma de Microsoft Power Apps expone por erro...
- España compra 15 dispositivos para desbloquear iPh...
- Las 15 principales vulnerabilidades en sistemas Linux
- Medidas de seguridad para usuarios de Discord
- Desarticulada en A Coruña una red que robaba cuent...
- La Policía Nacional Española desmantela una granja...
- Tesla presenta prototipo de robot humanoide para 2022
- Cloudflare mitiga el ataque HTTP DDoS más grande c...
- Vulnerabilidad crítica en QNX de BlackBerry compro...
- SerenityOS, el sistema Unix con aspecto de Windows NT
- Poly Network quiere contratar como asesor jefe de ...
- Vulnerabilidades servicio cola de impresión de Win...
- Graves vulnerabilidades chips Realtek utilizados p...
- La policía de Dallas deja libre a un sospechoso po...
- Filtradas 1 millón de tarjetas de crédito de form...
- Más de 1,9 millones de registros de lista de vigil...
- T-Mobile en USA investiga una filtración masiva de...
- Valve soluciona fallo de seguridad que permitía añ...
- Investigadores crean "caras maestras" capaces de e...
- Grupo ciberdelincuentes SynAck entrega llave de ci...
- Hackean y roban BD con datos privados de los clien...
- Principales vectores de entrada en ataques de rans...
- Consultora multinacional Accenture confirma ser ví...
- Consiguen robar 611 millones dólares en el mayor a...
- Norton Antivirus compra su rival Avast por 8 mil m...
- Detenidos 10 ciberdelincuentes estafadores que ofr...
- Vulnerabilidad física módulos TPM permite hackear ...
- ChatControl: la muerte de la privacidad en Europa
- Alertan campaña activa abusando de la grave vulner...
- Filtrados manuales técnicos hacking ransomware Conti
- Fabricante GIGABYTE víctima de un ataque de ransom...
- Apple escaneará las fotos de tu iPhone en busca de...
- Encuesta anual lenguajes de programación en StackO...
- Análisis fiabilidad de discos duros mecánicos y un...
- Ataque de ransomware bloquea el sistema citas vacu...
- Clonar Disco Duro HDD a Unidad SSD con Drive Snapshot
- 2ª Edición formación gratuita Academia Hacker de I...
- Antivirus gratuito Windows Defender de Microsoft
- Multan a Zoom con 85 millones dólares por sus prob...
- DNI Europeo, el DNI 4.0 de España, una identidad d...
- Activar cifrado BitLocker en Windows 11
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
iperf3 es la última versión del popular programa iperf para medir el ancho de banda entre dos o más equipos en red local o Internet . Es...
-
A finales del mes de agosto hablábamos de que los legisladores estadounidense habían solicitado la investigación de TP-Link . Y así, ya ten...
Vulnerabilidades servicio cola de impresión de Windows: PrintNightmare
La pesadilla, nunca mejor dicho, de PrintNightMare no deja de añadir nuevos episodios, en forma de nuevas vulnerabilidades que afectan a los componentes del sistema de impresión de Windows en sus diferentes versiones. El último elemento en sumarse a la lista fue la vulnerabilidad CVE-2021-36958, la cual ya fue reportada a Microsoft a finales del año pasado, si bien no ha sido hasta el afloramiento de todos los problemas con el sistema de impresión, que la compañía ha afrontado también este problema. Además el grupo de ransomware Vice Society está utilizando la vulnerabilidad para atacar empresas. Aunque finalmente Microsoft ha resulto recientemente el error PrintNightmare también en Windows 7 al cambiar la configuración de privilegios predeterminada, algo que la compañía también aplicó en Windows 10:
la última actualización de Windows 10 corrige 44 vulnerabilidades, incluyendo PrintNightmare
En este caso, la vulnerabilidad está relacionada con cómo se gestionan los archivos que cuentan con privilegios del sistema. Y es que, de nuevo, la falta de medidas de seguridad a la hora de ejecutar binarios supuestamente confiables en algún proceso relacionado con el sistema de impresión, es decir, lo que viene definiendo a PrintNightmare desde sus inicios, se puede traducir en la ejecución de código arbitrario, que comprometería la seguridad del sistema afectado.
De acuerdo a Benjamin Delpy, esta vulnerabilidad permite a los actores de amenazas obtener rápidamente privilegios de SYSTEM simplemente conectándose a un servidor de impresión remoto, como se muestra en este video.
En este caso, eso sí, la vulnerabilidad resulta algo menos preocupante, pues a diferencia de otras englobadas en PrintNightmare, en este caso es de índole exclusivamente local, es decir, que no puede ser explotada remotamente. Es necesario que todo el ataque sea perpetrado y efectuado de manera local, en el sistema a atacar. Esto, sin duda, reduce los riesgos, pero no los erradica, y por ejemplo en un ataque en el que el atacante consiga desplazarse lateralmente hasta el servidor a atacar, o a un sistema de confianza del mismo, sí que podría llegar a armar un ataque.
Todavía no hay solución, pero Microsoft ha afirmado que está trabajando en ello y que la publicará a la mayor brevedad, lo que es de agradecer. Mientras tanto, lo mejor es deshabilitar las funciones de servidor de impresión en todos aquellos equipos en los que no sea necesaria y, en aquellos en los que sí, revisar todas las políticas para reducir a lo imprescindible los permisos de ejecución de software por parte del sistema de impresión. De nuevo, la misma solución que ante el resto de amenazas de PrintNightmare.
Más en el medio plazo, es evidente que Microsoft tiene que hacer algo con el sistema de impresión de Windows. Los hallazgos de estos últimos meses nos han dejado con el sabor de boca de que hablamos de un componente tremendamente inseguro, y en base a esto tiene sentido pensar que PrintNightmare todavía se prolongará más en el tiempo, con nuevas vulnerabilidades que degradarán todavía más la ya poca confianza que tenemos en el sistema de impresión de Windows.
Evidentemente es una tarea muy compleja, pero tengo plena confianza en que los responsables de Microsoft ya son plenamente conscientes de este problema, y de la necesidad de devolver la confianza a los usuarios, algo que probablemente ya no se pueda lograr simplemente con parches para los problemas a medida que vayan apareciendo. Y soy consciente de que no es buen momento, PrintNightmare ha aparecido justo de la mano del lanzamiento de Windows 365 y el inminente lanzamiento de Windows 11, lo que puede retrasar las labores en este sentido. Pero es algo que tienen que hacer más pronto que tarde.
Ransomware y vulnerabilidad PrintNightMare
Un par de meses después de descubrirse la vulnerabilidad PrintNightmare y varios intentos de solucionarla por parte de Microsoft (publicando para ello unos cuantos parches de seguridad durante las últimas semanas) los delincuentes han empezado a aprovechar este fallo de seguridad en la cola de impresión de Windows para infectar a sus víctimas con ransomware.
Uno de los primeros intentos de los grupos de ransomware de aprovechar esta vulnerabilidad se detectó a mediados del pasado mes de julio cuando investigadores de CrowdStrike detectaron intentos de explotarla por parte de ransomware Magniber. Este malware se encuentra activo desde octubre de 2017, habiendo alcanzado picos de actividad en las últimas semanas, y se centra en víctimas localizadas en países asiáticos como China, Corea del Sur, Singapur o Malasia, entre otros.
Durante los últimos días también se ha observado como otra familia de ransomware conocida como The Vice Society está aprovechando la vulnerabilidad PrintNightmare para realizar movimientos laterales en las redes corporativas de sus víctimas. En esta ocasión, fueron los investigadores de Cisco Talos quienes observaron a los operadores de este ransomware dos de los fallos de seguridad asociados a esta vulnerabilidad.
Además de estos dos casos, los manuales que se entregan a los afiliados del ransomware Conti que se filtraron recientemente y también mencionan el aprovechamiento de esta vulnerabilidad por lo que es de esperar que los operadores detrás de esta amenaza la exploten en breve, si no lo están haciendo ya.
Fuentes:
https://www.muyseguridad.net/2021/08/17/printnightmare-otra-vulnerabilidad/
https://blogs.protegerse.com/2021/08/16/la-vulnerabilidad-printnightmare-esta-siendo-explotada-por-grupos-de-ransomware/
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.