Actualidad desde nuestro Centro Experto de Ciberseguridad

 

 

Te traemos las últimas noticias y alertas detectadas de Ciberseguridad.

Conecta con nosotros a través de siainfo@sia.es

  •  

      Compartir en:

Noticias destacadas de ciberseguridad

Vulnerabilidades

Atlassian parchea una vulnerabilidad crítica en los productos de Jira Data Center

 

  bleepingcomputer.com

 

Dell corrige múltiples vulnerabilidades críticas en productos OpenManage Enterprise

 

securityweek.com

Malware

Los operadores de Phoenix CryptoLocker comprometen la red de CNA a través de una actualización falsa de navegador

 

  bleepingcomputer.com

 

Los ordenadores japoneses son el objetivo del malware Wiper

 

  therecord.media

Ciberseguridad

Kaseya obtiene un descifrador universal para las víctimas del ransomware REvil

 

cyberscoop.com

 

El puerto sudafricano de Ciudad del Cabo sufre un ciberataque que interrumpe las principales operaciones portuarias de Sudáfrica

 

  itnews.com.au

Últimas amenazas detectadas

Nuevo Zero-day de Windows print spooler explotable a través de servidores de impresión remotos

19/7/2021

Resumen ejecutivo

 

Se ha revelado de forma pública una nueva vulnerabilidad zero-day que permite a un atacante conseguir privilegios de SISTEMA en una máquina Windows a través de un servidor de impresión remoto.

Datos

 

Tipo:

 

TLP:

 

Objetivos:

 

Activos afectados:

 

Vector de ataque:

 

Tags:

 

Hacking

 

White

 

Múltiples

 

Sistemas Windows

 

Vulnerabilidad

 

CVE-2021-34527, PrintSpooler, Printnightmare, Windows, zero-day

Descripción

 

El mes pasado se publicó accidentalmente una vulnerabilidad zero-day (CVE-2021-34527) en Windows Print spooler, conocida como PrintNightmare. Microsoft publicó una actualización de seguridad para corregir dicha vulnerabilidad, pero algunos investigadores llegaron a la conclusión de que el parche podía eludirse en determinadas condiciones.

 

En la actualidad, el investigador de seguridad y creador de Mimikatz, Benjamin Delpy, ha revelado públicamente una nueva vulnerabilidad zero-day en Windows Print Spooler que otorga a un atacante privilegios de administrador en una máquina Windows a través de un servidor remoto bajo su control.

 

El investigador Delpy informó de que hacía uso de la función 'Queue-Specific Files' de Windows Point and Print. Point and Print es un término que se refiere a la capacidad de permitir a un usuario en un cliente Windows 2000 o superior, crear una conexión con una impresora remota sin proporcionar discos u otros medios de instalación para ello. Todos los archivos necesarios y la información de configuración se descargan automáticamente del servidor de impresión del cliente.

 

El investigador hace uso de esta función para descargar y ejecutar automáticamente una DLL maliciosa cuando un cliente se conecte al servidor de impresión que está bajo el control de un atacante.

 

Para explotar esta vulnerabilidad, el investigador creó un servidor de impresión accesible a través de internet con dos impresoras compartidas que utilizan la función queue-specific files comentada anteriormente.

 

Al ejecutar la DLL maliciosa, esta se ejecutará con privilegios de SISTEMA y podrá ser utilizada para ejecutar cualquier comando en el ordenador de la víctima.

 

Lo que hace que esta vulnerabilidad sea tan peligrosa es la afectación a todas las versiones actuales de Windows y que además permite a un atacante obtener un acceso limitado a la red y conseguir de forma casi instantánea privilegios de SISTEMA en el dispositivo vulnerado. Mediante este ataque, los actores podrían extenderse lateralmente a través de la red hasta obtener acceso a un controlador de dominio.

 

Para la mitigación de esta vulnerabilidad se ha informado de dos posibles opciones. La primera sería bloquear el tráfico SMB saliente para evitar el acceso al ordenador remoto, pero se ha afirmado que el Point and Print de Windows puede utilizarse para instalar drivers sin el uso de SMB, por lo que los actores podrían seguir utilizando esta técnica con un servidor de impresión local.

 

La otra opción posible es la creación de una política de grupo que impide a los usuarios sin permisos de administrador la instalación de drivers de impresión mediante Point and Print, a menos que dicho servidor esté en una lista blanca aprobada previamente.

 

Recomendaciones

Protección

 

  • Aplicar el parche de seguridad correspondiente
  • Actualizar los sistemas de seguridad de los equipos, como antivirus

 

Detección

 

  • Si detecta anomalías en las acciones y funcionalidades del equipo póngase en contacto con su servicio técnico

Mitigación

 

  • Deshabilitar el servicio spoolsv.exe en todos los servidores basados en Windows
  • Bloqueo del tráfico SMB saliente
  • Bloqueo de instalación de drivers mediante una política de grupo

 

Impulsa la transformación de los negocios y la sociedad mediante soluciones y servicios innovadores, poniendo a las personas en el centro.

 

 

minsait.com

Indra es una de las principales compañías globales de tecnología y consultoría: el socio tecnológico para las operaciones clave de los negocios de clientes en todo el mundo.

 

indracompany.com

Impulsa la transformación de los negocios y la sociedad mediante soluciones y servicios innovadores, poniendo a las personas en el centro.

 

minsait.com

Indra es una de las principales compañías globales de tecnología y consultoría: el socio tecnológico para las operaciones clave de los negocios de clientes en todo el mundo.

 

indracompany.com