Preguntas frecuentes sobre printNightmare (CVE-2021-34527)Sergio De Los Santos 5 julio, 2021 Vamos a intentar aclarar algunas dudas comunes sobre esta vulnerabilidad, puesto que ha aparecido con ciertos datos confusos sobre si estaba parcheada, denominación, fórmulas para ser explotada y cómo protegerse. ¿Por qué sale ahora y sin parche? Zhiniang Peng y Xuefeng Li van a la Black Hat este año a mostrar cómo explotar vulnerabilidades en la cola de impresión de Windows. Por alguna razón publicaron todos los detalles de una vulnerabilidad que en principio llamaron CVE-2021-1675 pero que luego se ha confirmado como CVE-2021-34527 y con el alias “printNightmare”. Publicaron en github el exploit y poco después de arrepintieron y lo borraron. Pero ya era tarde y se copió en otros muchos lugares con otros formatos, lenguajes, etc. ¿Está parcheada? No. En un principio se pensaba que de alguna forma era una variante de CVE-2021-1675, parcheada el ocho de junio, pero no. Es un fallo diferente. Eso sí, tener el parche o no influye en el flujo de decisión para ser más o menos vulnerable. ¿Cómo me atacan? Se necesita tener un usuario válido en el sistema o en la red (alojado en el controlador de dominio) y que el controlador de dominio permita la impresión remota. Estas son las condiciones básicas. A partir de ahí, cualquiera con no demasiados conocimientos podrá inyectar una DLL en el servidor con privilegios de SYSTEM, lo que en la práctica significa control absoluto de toda la red. ¿Soy vulnerable? Probablemente sí, todos los Windows lo son en potencia. Existen exploits ya de todo tipo, es muy sencillo de explotar. Si la cola de impresión está accesible y no está el parche aplicado, el exploit funcionará. A la cola de impresión no se accede directamente a través de un puerto por tanto regular el acceso por el cortafuegos no ayudará (a no ser que se quiera bloquear puertos 445 y 137 que son más delicados de gestionar). Si se tiene el parche en un controlador de dominio, y el atacante está en el grupo de compatibilidad pre-2000, el exploit funcionará. “Pre-windows 2000 Compatible Access” es un grupo que relaja y adapta ciertas medidas para que puedan funcionar sistemas 9x en el controlador. Esto no es tan poco común como pueda parecer. Si no es un controlador de dominio, entonces hay que fijarse en otro parámetro puesto que lo anterior no aplica. Hay que fijarse en el estado de “point and print” y “EnableLUA”. El primero es un sistema que permite imprimir con un solo clic, esto es, instalación automática de drivers si es necesario. El segundo tiene que ver con el UAC y si está desactivado, el exploit funcionará. Se ve mucho mejor en este árbol de decisión. ¿Cómo puedo protegerme? Depende de lo que quieras sacrificar. Si no necesitas para nada imprimir, lo más sencillo es apagar y deshabilitar el servicio. Si se necesita imprimir en local pero que nadie pueda explotar esto en remoto, se puede deshabilitar la impresión remota desde GPO. Se consigue deshabilitando esa “Permitir que el administrador de trabajos de impresión acepte conexiones cliente”. O en inglés: “Allow Print Spooler to accept client connections”. Es necesario reiniciar el servicio. Algo que está por defecto deshabilitado pero no está de más asegurarse es el «point and print»: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrintNoWarningNoElevationOnInstall = 0NoWarningNoElevationOnUpdate = 0 ¿Qué ocurre si se quiere imprimir en todas las condiciones desde fuera y dentro? Una fórmula más arriesgada pero que permite operar más libre es modificar los permisos. Con este “hack” el impacto es que no se puedan añadir más impresoras en el sistema, pero el exploit no funcionará aunque el fallo seguirá ahí. Es arriesgado pero parece eficaz. Más información aquí. ¿Cómo puedo saber si estoy siendo atacado? Aquí Microsoft ha publicado algunos datos de Microsoft 365: https://aka.ms/printspooler-rce-ahqAquí hay detalles sobre cómo detectarlo con varios fabricantes: https://github.com/LaresLLC/CVE-2021-1675Es muy buena idea también habilitar el registro específico de Windows: Boletín semanal de ciberseguridad 26-2 de julioComprendiendo los fraudes de las tarjetas de regalo
Íñigo Echavarri El papel del “Threat Hunting” como acelerante en la respuesta a incidentes ransomware Siguiendo la estela de los artículos desarrollados para otorgar luz a la respuesta ante incidentes que se llevan a cabo en nuestro grupo, parece claro que las acciones necesarias...
Telefónica Tech Boletín semanal de ciberseguridad 9-15 octubre Boletín de seguridad de Microsoft Microsoft ha publicado su boletín de seguridad correspondiente al mes de octubre en el que ha corregido un total de 81 fallos en su software, incluyendo...
Luis Pablo del Árbol Pérez ¿Cómo promover una cultura de ciberseguridad? La Guardia Civil celebró en Córdoba, del pasado 29 de septiembre al 9 de octubre, los actos conmemorativos de su Patrona. Unas jornadas donde el papel que esta institución...
Alexandre Maravilla La nueva identidad digital europea: los “wallets” de identidad soberana ¿Te has parado a pensar en la cantidad de cuentas de usuario que tenemos en Internet? Cuentas bancarias, proveedores de suministros, RR.SS., correo electrónico, e-commerce, etc. En la actualidad...
Telefónica Tech Boletín semanal de ciberseguridad 2-8 octubre Vulnerabilidades en Apache activamente explotadas A principios de esta semana, Apache corregía un 0-day (CVE-2021-41773) que afectaba a los servidores HTTP de Apache y que estaba siendo explotado activamente. Sin...
Telefónica Tech Cloud, lo que nos ha traído septiembre Este nuevo curso ha llegado cargado de conocimiento para el blog de Telefónica Tech. Gracias a nuestros expertos, seguimos avanzando, de manera diaria, en nuestra formación sobre tecnología: ciberseguridad,...
