Actualidad desde nuestro Centro Experto de Ciberseguridad
Te traemos las últimas noticias y alertas detectadas de Ciberseguridad.
Conecta con nosotros a través de siainfo@sia.es
Compartir en:
Noticias destacadas de ciberseguridad
Vulnerabilidades
Atlassian parchea una vulnerabilidad crítica en los productos de Jira Data Center
Dell corrige múltiples vulnerabilidades críticas en productos OpenManage Enterprise
Malware
Los operadores de Phoenix CryptoLocker comprometen la red de CNA a través de una actualización falsa de navegador
Los ordenadores japoneses son el objetivo del malware Wiper
Ciberseguridad
Kaseya obtiene un descifrador universal para las víctimas del ransomware REvil
El puerto sudafricano de Ciudad del Cabo sufre un ciberataque que interrumpe las principales operaciones portuarias de Sudáfrica
Últimas amenazas detectadas
Nuevo Zero-day de Windows print spooler explotable a través de servidores de impresión remotos
19/7/2021
Resumen ejecutivo
Se ha revelado de forma pública una nueva vulnerabilidad zero-day que permite a un atacante conseguir privilegios de SISTEMA en una máquina Windows a través de un servidor de impresión remoto.
Datos
Tipo:
TLP:
Objetivos:
Activos afectados:
Vector de ataque:
Tags:
Hacking
White
Múltiples
Sistemas Windows
Vulnerabilidad
CVE-2021-34527, PrintSpooler, Printnightmare, Windows, zero-day
Descripción
El mes pasado se publicó accidentalmente una vulnerabilidad zero-day (CVE-2021-34527) en Windows Print spooler, conocida como PrintNightmare. Microsoft publicó una actualización de seguridad para corregir dicha vulnerabilidad, pero algunos investigadores llegaron a la conclusión de que el parche podía eludirse en determinadas condiciones.
En la actualidad, el investigador de seguridad y creador de Mimikatz, Benjamin Delpy, ha revelado públicamente una nueva vulnerabilidad zero-day en Windows Print Spooler que otorga a un atacante privilegios de administrador en una máquina Windows a través de un servidor remoto bajo su control.
El investigador Delpy informó de que hacía uso de la función 'Queue-Specific Files' de Windows Point and Print. Point and Print es un término que se refiere a la capacidad de permitir a un usuario en un cliente Windows 2000 o superior, crear una conexión con una impresora remota sin proporcionar discos u otros medios de instalación para ello. Todos los archivos necesarios y la información de configuración se descargan automáticamente del servidor de impresión del cliente.
El investigador hace uso de esta función para descargar y ejecutar automáticamente una DLL maliciosa cuando un cliente se conecte al servidor de impresión que está bajo el control de un atacante.
Para explotar esta vulnerabilidad, el investigador creó un servidor de impresión accesible a través de internet con dos impresoras compartidas que utilizan la función queue-specific files comentada anteriormente.
Al ejecutar la DLL maliciosa, esta se ejecutará con privilegios de SISTEMA y podrá ser utilizada para ejecutar cualquier comando en el ordenador de la víctima.
Lo que hace que esta vulnerabilidad sea tan peligrosa es la afectación a todas las versiones actuales de Windows y que además permite a un atacante obtener un acceso limitado a la red y conseguir de forma casi instantánea privilegios de SISTEMA en el dispositivo vulnerado. Mediante este ataque, los actores podrían extenderse lateralmente a través de la red hasta obtener acceso a un controlador de dominio.
Para la mitigación de esta vulnerabilidad se ha informado de dos posibles opciones. La primera sería bloquear el tráfico SMB saliente para evitar el acceso al ordenador remoto, pero se ha afirmado que el Point and Print de Windows puede utilizarse para instalar drivers sin el uso de SMB, por lo que los actores podrían seguir utilizando esta técnica con un servidor de impresión local.
La otra opción posible es la creación de una política de grupo que impide a los usuarios sin permisos de administrador la instalación de drivers de impresión mediante Point and Print, a menos que dicho servidor esté en una lista blanca aprobada previamente.
Recomendaciones
Protección
- Aplicar el parche de seguridad correspondiente
- Actualizar los sistemas de seguridad de los equipos, como antivirus
Detección
- Si detecta anomalías en las acciones y funcionalidades del equipo póngase en contacto con su servicio técnico
Mitigación
- Deshabilitar el servicio spoolsv.exe en todos los servidores basados en Windows
- Bloqueo del tráfico SMB saliente
- Bloqueo de instalación de drivers mediante una política de grupo
Impulsa la transformación de los negocios y la sociedad mediante soluciones y servicios innovadores, poniendo a las personas en el centro.
Indra es una de las principales compañías globales de tecnología y consultoría: el socio tecnológico para las operaciones clave de los negocios de clientes en todo el mundo.