El
pasado
martes Microsoft publicó sus acostumbradas actualizaciones, entre las que
se incluía el anuncio (en el boletín MS16-087) de
una actualización para los componentes del servicio de cola de impresión de
Windows. Se solucionaba una vulnerabilidad
que existe en todos los Windows desde
hace más de 20 años y que puede permitir la propagación de malware en una red.
Concretamente el problema se debe
al protocolo "Microsoft Web Point-and-Print", que almacena el controlador en la impresora o en el
servidor de impresión, de forma que los usuarios que precisen esa impresora
recibirán los drivers cuando los necesiten. Así se evita la necesidad de un administrador que instale los
controladores. Y ahí precisamente reside el problema.
"The user gets access to the printer driver
they need without requiring an administrator
– a nice win-win."
El
protocolo no verifica la legitimidad de los controladores de una impresora cuando
se encuentra conectada, lo que posibilita a un atacante introducir un driver
malicioso sin levantar ninguna alarma. No solo eso, sino que cuando alguien
quiera hacer uso de esa impresora el controlador con contenido malicioso se
instalará en el equipo, con lo que conseguirá propagarse e infectar nuevos
sistemas.
"This stage allow installation of a printer driver without
any user warning, uac or even binary signature verification,
and all under the system rights."
El
equipo de Vectra Networks expone en un completo
informe como explotar la vulnerabilidad:
Y un
vídeo:
Se pueden
dar diferentes escenarios de ataques, como troyanizar una impresora o servidor
de impresión existente directamente a través de la propia ruta del controlador
del servidor de impresión (c:\windows\system32\spool\drivers\*\3\...), del
servidor cups Linux o fabricantes que soportan "Point-and-Print" en la propia impresora. También sería posible
realizar un ataque de hombre en el medio a la impresora para inyectar el
controlador troyanizado
Microsoft ha publicado el boletín
MS16-087,
que soluciona esta vulnerabilidad (CVE-2016-3238)
y otra de elevación de privilegios con CVE-2016-3239.
Sin embargo, el problema afecta a todas las versiones de Windows desde Windows
95. Pero las actualizaciones de Microsoft no cubren los sistemas más antiguos,
lo que aun puede dejar expuestos un gran número de sistemas. En este sentido, el
mayor punto débil son los sistemas con Windows XP, en torno a un 10% de los
ordenadores que aun siguen en uso, y que ya está fuera
del soporte de Microsoft.
Más información:
Microsoft Security Bulletin
MS16-087 - Critical
Security Update for Windows Print Spooler
Components (3170005)
una-al-dia (13/07/2016) Microsoft publica 16 boletines de
seguridad y soluciona 36 vulnerabilidades
The new
vulnerability that creates a dangerous watering hole in your network
Own a
printer, own a network with point and print drive-by
una-al-dia (07/04/2014) eXPira el Windows más longevo de
Microsoft
Antonio Ropero
Twitter: @aropero
Gracias a H & P por sus peculiares formas y maneras de instalar los controladores por medio de un .msi o .exe poco se ha utilizado esta manera de distribuirlos (aunque tal vez le esté yo dando demasiada importancia al segmento de mercado que ocupa dicha empresa).
ResponderEliminarImposible que pase esto, todos sabemos que cada vez que sale un Güindous nuevo M$ ha puesto 50 trilliones de líneas de código nuevo. Un bug de 20 años significaría que, después de todo, llevan vendiendo la misma miseria dos décadas con lavados de cara para que los incautos crean que "esto es de lo más mehó".
ResponderEliminarComo siempre Windows haciendo de la suyas.
ResponderEliminar