----- Forwarded message from Salcocho Noticioso <feedblas...@hcg.sld.cu> -----
Date: Fri, 15 Jul 2016 23:00:06 -0400
From: Salcocho Noticioso <feedblas...@hcg.sld.cu>
To: laz...@hcg.sld.cu
Subject: Una vulnerabilidad de más de 20 años en Windows [Hispasec @unaaldia]
X-Mailer: feedblaster.rb - ruby 2.3.1p112 (2016-04-26 revision 54768)
[x86_64-linux]
Una vulnerabilidad de más de 20 años en Windows
El pasado martes Microsoft publicó sus acostumbradas actualizaciones, entre las
que se incluía el anuncio (en el boletín MS16-087) de una actualización para
los componentes del servicio de cola de impresión de Windows. Se solucionaba
una vulnerabilidadque existe en todos los Windows desde hace más de 20 años y
que puede permitir la propagación de malware en una red.
[watering_hole_blog]
Investigadores de Vectra Networks han descubierto una vulnerabilidad que
llevaba 20 años escondida en los sistemas operativos de Microsoft, desde la
época de Windows 95. El problema reside en el software Windows Print Spooler
(cola de impresión Windows) encargado de la administración de impresoras
disponibles y la impresión de documentos.
Concretamente el problema se debe al protocolo "Microsoft Web Point-and-Print",
que almacena el controlador en la impresora o en el servidor de impresión, de
forma que los usuarios que precisen esa impresora recibirán los drivers cuando
los necesiten. Así se evita la necesidad de un administrador que instale los
controladores. Y ahí precisamente reside el problema.
"The user gets access to the printer driver
they need without requiring an administrator
– a nice win-win."
El protocolo no verifica la legitimidad de los controladores de una impresora
cuando se encuentra conectada, lo que posibilita a un atacante introducir un
driver malicioso sin levantar ninguna alarma. No solo eso, sino que cuando
alguien quiera hacer uso de esa impresora el controlador con contenido
malicioso se instalará en el equipo, con lo que conseguirá propagarse e
infectar nuevos sistemas.
"This stage allow installation of a printer driver without
any user warning, uac or even binary signature verification,
and all under the system rights."
El equipo de Vectra Networks expone en un completo informe como explotar la
vulnerabilidad:
http://blog.vectranetworks.com/blog/
microsoft-windows-printer-wateringhole-attack
Y un vídeo:
https://www.youtube.com/watch?v=DuMk-yxZApA
Se pueden dar diferentes escenarios de ataques, como troyanizar una impresora o
servidor de impresión existente directamente a través de la propia ruta del
controlador del servidor de impresión (c:\windows\system32\spool\drivers\*\3
\...), del servidor cups Linux o fabricantes que soportan "Point-and-Print" en
la propia impresora. También sería posible realizar un ataque de hombre en el
medio a la impresora para inyectar el controlador troyanizado
Microsoft ha publicado el boletín MS16-087, que soluciona esta vulnerabilidad (
CVE-2016-3238) y otra de elevación de privilegios con CVE-2016-3239. Sin
embargo, el problema afecta a todas las versiones de Windows desde Windows 95.
Pero las actualizaciones de Microsoft no cubren los sistemas más antiguos, lo
que aun puede dejar expuestos un gran número de sistemas. En este sentido, el
mayor punto débil son los sistemas con Windows XP, en torno a un 10% de los
ordenadores que aun siguen en uso, y que ya está fuera del soporte de
Microsoft.
Más información:
Microsoft Security Bulletin MS16-087 - Critical
Security Update for Windows Print Spooler Components (3170005)
https://technet.microsoft.com/library/security/MS16-087
una-al-dia (13/07/2016) Microsoft publica 16 boletines de seguridad y soluciona
36 vulnerabilidades
http://unaaldia.hispasec.com/2016/07/microsoft-publica-11-boletines-de.html
The new vulnerability that creates a dangerous watering hole in your network
http://blog.vectranetworks.com/blog/
the-new-vulnerability-that-creates-a-dangerous-watering-hole-in-your-network
Own a printer, own a network with point and print drive-by
http://blog.vectranetworks.com/blog/
microsoft-windows-printer-wateringhole-attack
una-al-dia (07/04/2014) eXPira el Windows más longevo de Microsoft
http://unaaldia.hispasec.com/2014/04/expira-el-windows-mas-longevo-de.html
Antonio Ropero
anton...@hispasec.com
Twitter: @aropero
*
----- End forwarded message -----
--
-------- Warning! ------------
100'000 pelos de escoba fueron
introducidos satisfactoriamente
en su puerto USB.
--
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que est� limpio.
______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
