viernes, 15 de julio de 2016

Una vulnerabilidad de más de 20 años en Windows

El pasado martes Microsoft publicó sus acostumbradas actualizaciones, entre las que se incluía el anuncio (en el boletín MS16-087) de una actualización para los componentes del servicio de cola de impresión de Windows. Se solucionaba una vulnerabilidad que existe en todos los Windows desde hace más de 20 años y que puede permitir la propagación de malware en una red.

Investigadores de Vectra Networks han descubierto una vulnerabilidad que llevaba 20 años escondida en los sistemas operativos de Microsoft, desde la época de Windows 95. El problema reside en el software Windows Print Spooler (cola de impresión Windows) encargado de la administración de impresoras disponibles y la impresión de documentos.

Concretamente el problema se debe al protocolo "Microsoft Web Point-and-Print", que almacena el controlador en la impresora o en el servidor de impresión, de forma que los usuarios que precisen esa impresora recibirán los drivers cuando los necesiten. Así se evita la necesidad de un administrador que instale los controladores. Y ahí precisamente reside el problema.

"The user gets access to the printer driver
they need without requiring an administrator
– a nice win-win.
"

El protocolo no verifica la legitimidad de los controladores de una impresora cuando se encuentra conectada, lo que posibilita a un atacante introducir un driver malicioso sin levantar ninguna alarma. No solo eso, sino que cuando alguien quiera hacer uso de esa impresora el controlador con contenido malicioso se instalará en el equipo, con lo que conseguirá propagarse e infectar nuevos sistemas.

"This stage allow installation of a printer driver without
any user warning, uac or even binary signature verification,
and all under the system rights.
"

El equipo de Vectra Networks expone en un completo informe como explotar la vulnerabilidad:
Y un vídeo:

Se pueden dar diferentes escenarios de ataques, como troyanizar una impresora o servidor de impresión existente directamente a través de la propia ruta del controlador del servidor de impresión (c:\windows\system32\spool\drivers\*\3\...), del servidor cups Linux o fabricantes que soportan "Point-and-Print" en la propia impresora. También sería posible realizar un ataque de hombre en el medio a la impresora para inyectar el controlador troyanizado  

Microsoft ha publicado el boletín MS16-087, que soluciona esta vulnerabilidad (CVE-2016-3238) y otra de elevación de privilegios con CVE-2016-3239. Sin embargo, el problema afecta a todas las versiones de Windows desde Windows 95. Pero las actualizaciones de Microsoft no cubren los sistemas más antiguos, lo que aun puede dejar expuestos un gran número de sistemas. En este sentido, el mayor punto débil son los sistemas con Windows XP, en torno a un 10% de los ordenadores que aun siguen en uso, y que ya está fuera del soporte de Microsoft.

Más información:

Microsoft Security Bulletin MS16-087 - Critical
Security Update for Windows Print Spooler Components (3170005)

una-al-dia (13/07/2016) Microsoft publica 16 boletines de seguridad y soluciona 36 vulnerabilidades

The new vulnerability that creates a dangerous watering hole in your network

Own a printer, own a network with point and print drive-by

una-al-dia (07/04/2014) eXPira el Windows más longevo de Microsoft


Antonio Ropero
Twitter: @aropero

3 comentarios:

  1. Gracias a H & P por sus peculiares formas y maneras de instalar los controladores por medio de un .msi o .exe poco se ha utilizado esta manera de distribuirlos (aunque tal vez le esté yo dando demasiada importancia al segmento de mercado que ocupa dicha empresa).

    ResponderEliminar
  2. Imposible que pase esto, todos sabemos que cada vez que sale un Güindous nuevo M$ ha puesto 50 trilliones de líneas de código nuevo. Un bug de 20 años significaría que, después de todo, llevan vendiendo la misma miseria dos décadas con lavados de cara para que los incautos crean que "esto es de lo más mehó".

    ResponderEliminar