CCN-CERT AL 07/21 Vulnerabilidad en Microsoft

CCN-CERT AL 07/21 Nueva actualización vulnerabilidad Microsoft (CVE-2021-34527) (09/07/2021)

 
Cabecera
separador
Nueva actualización vulnerabilidad Microsoft (CVE-2021-34527)

Fecha de publicación: 09/07/2021
Nivel de peligrosidad: CRÍTICO

La Capacidad de Respuesta a Incidentes de Seguridad de la Información del Centro Criptológico Nacional, CCN-CERT, informa de la publicación de nuevas actualizaciones en la vulnerabilidad CVE-2021-34527.

Tras la publicación por parte de Microsoft del parche de seguridad para solventar la vulnerabilidad conocida como PrintNightmare, a la que se le asignó el CVE-2021-34527 y que afecta al servicio Windows Print Spooler permitiendo ejecutar código de forma remota (RCE) y escalar privilegios dentro del sistema, varios investigadores han descubierto que se impide la ejecución de código remota pero no la escalada de privilegios a nivel local. Además si la directiva 'Restricciones de apuntar e imprimir' está habilitada permite seguir ejecutando código de forma remota.

Solución a la vulnerabilidad:

Una vez aplicado el parche publicado por Microsoft, se debe comprobar que la siguiente configuración del Registro de Windows está establecida en cero o no está definida:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
  • NoWarningNoElevationOnInstall=0 (DWORD) o no definido (configuración por defecto).
  • UpdatePromptSettings=0 (DWORD) o no definido (configuración por defecto).

Si alguna de las condiciones no es cierta, el sistema es vulnerable, por lo tanto, se debe configurar la política de grupo de restricciones de impresión de la siguiente manera:

  • Abrir la herramienta de edición de políticas de grupo:
    • Configuración del equipo >Plantillas administrativas > Impresoras.
  • Establecer la configuración de la política de grupo de restricciones de impresión (Point and Point Restrictions) de la siguiente manera:
    • Chequear opción "Habilitada".
    • Al instalar controladores para una nueva conexión: "Mostrar advertencia y aviso de elevación".
    • Al actualizar los controladores para una conexión existente: "Mostrar advertencia y aviso de elevación".

Imagen: solución alternativa Microsoft.

Además, se indica una medida opcional que  implica anular las restricciones de punto de impresión y forzar la instalación del controlador sólo a los administradores (estableciendo con el valor 1 el parámetro vRestrictDriverInstallation). Establecer este valor en 1 o cualquier valor distinto de cero evita que un usuario que no sea administrador instale cualquier controlador de impresora. Para automatizar la adición del valor de registro:

  • Abrir una ventana del símbolo del sistema (cmd.exe) con permisos de root.
  • Escribir el siguiente comando:
    • reg add "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\ WindowsNT\Printers\PointAndPrint"/vRestrictDriverInstallationToAdministrators/t REG_DWORD/d1/f

Referencias:

Atentamente,

Equipo CCN-CERT

Avisos

Información IMPORTANTE sobre vulnerabilidades, con alto nivel de riesgo, que deben ser atendidas con especial prontitud por parte de las organizaciones potencialmente afectadas.

Alertas

Información sobre situaciones que requieren atención INMEDIATA por parte de las organizaciones potencialmente afectadas.

 Sobre CCN-CERT

Política de privacidad

Aviso de Confidencialidad

El presente mensaje va dirigido de manera exclusiva a su destinatario. Si usted no es el destinatario de este mensaje (o la persona responsable de su entrega), considérese advertido de que lo ha recibido por error, así como de la prohibición legal de realizar cualquier tipo de uso, difusión, reenvío, impresión o copia del mismo. Si ha recibido este mensaje por error, por favor notifíquelo al remitente y proceda a destruirlo inmediatamente.

Síganos en redes sociales:
Twitter Linkedin Youtube Telegram
       
© 2021 Centro Criptológico Nacional, Argentona 30, 28023 MADRID
 
Si desea cancelar su suscripción a estos boletines pinche aquí
 

CCN-CERT AL 07/21 Actualización vulnerabilidad Microsoft (CVE-2021-34527) (07/07/2021)

 
Cabecera
separador
Actualización vulnerabilidad Microsoft (CVE-2021-34527)

Fecha de publicación: 07/07/2021
Nivel de peligrosidad: CRÍTICO

La Capacidad de Respuesta a Incidentes de Seguridad de la Información del Centro Criptológico Nacional, CCN-CERT, informa sobre la publicación de actualizaciones para parchear la vulnerabilidad CVE-2021-34527 en Microsoft.

La compañía ha hecho pública una actualización de su aviso de seguridad correspondiente a la vulnerabilidad de ejecución remota de código (RCE) que afecta al servicio de impresión Windows Print Spooler y a la que se le asignó el CVE-2021-34527.

El pasado 29 de junio, tal y como informamos en su día, tres analistas de la firma de seguridad china Sangfor, publicaron por error una prueba de concepto para explotar otra vulnerabilidad, catalogada con el CVE-2021-1675, que también aprovechaba un fallo en el servicio Windows Print Spooler. Los investigadores de seguridad se dieron cuenta de su error e intentaron solventarlo borrando el exploit de la red, pero por desgracia, éste ya se encontraba duplicado en varios repositorios de GitHub bajo el nombre de PrintNightmare.

Posteriormente, se descubrió una nueva vulnerabilidad en el servicio Windows Print Spooler con un vector de ataque diferente, a la que se le asignó un nuevo CVE: CVE-2021-34527. Esta  vulnerabilidad afecta a todas las versiones de Windows y es especialmente crítica porque permite ejecutar código de forma remota con altos privilegios.  De acuerdo con la información publicada por investigadores de seguridad los parches publicados por Microsoft evitan la ejecución remota de código, pero no evitarían una escalada local de privilegios.


Imagen 1: cuenta oficial Hacker Fantastic.

Solución a la vulnerabilidad:

La solución está incompleta y el malware aún puede explotar localmente la vulnerabilidad para obtener privilegios de SISTEMA. No obstante, se recomienda aplicar los parches indicados a continuación para abordar el fallo de ejecución remota de código detectado para la vulnerabilidad CVE-2021-34527. (La aplicación de la actualización también solventará la vulnerabilidad CVE-2021-1675 por completo):

  • Windows 10, versión 21H1 (KB5004945).
  • Windows 10, versión 20H1 (KB5004945).
  • Windows 10, versión 2004 (KB5004945).
  • Windows 10, versión 1909 (KB5004946).
  • Windows 10, versión 1809 y Windows Server 2019 (KB5004947).
  • Windows 10, versión 1507 (KB5004950).
  • Windows 8.1 y Windows Server 2012: paquete mensual KB5004954.
  • Windows 7 SP1 y Windows Server 2008: paquete mensual KB5004953.
  • Windows Server 2008 SP2: paquete mensual KB5004955.

Las actualizaciones de seguridad para Windows 10 versión 1607, Windows 10 versión 1803 y Windows Server 2016 se publicarán en las próximas horas, según Microsoft.

Si bien todos los tipos de sistemas Windows deben actualizarse, las correcciones deben aplicarse con prioridad a los servidores Windows que operan como controladores de dominio, donde el servicio Print Spooler suele estar habilitado de forma predeterminada para permitir la impresión a través de la red interna de una organización.

Referencias:

Atentamente,

Equipo CCN-CERT

Avisos

Información IMPORTANTE sobre vulnerabilidades, con alto nivel de riesgo, que deben ser atendidas con especial prontitud por parte de las organizaciones potencialmente afectadas.

Alertas

Información sobre situaciones que requieren atención INMEDIATA por parte de las organizaciones potencialmente afectadas.

 Sobre CCN-CERT

Política de privacidad

Aviso de Confidencialidad

El presente mensaje va dirigido de manera exclusiva a su destinatario. Si usted no es el destinatario de este mensaje (o la persona responsable de su entrega), considérese advertido de que lo ha recibido por error, así como de la prohibición legal de realizar cualquier tipo de uso, difusión, reenvío, impresión o copia del mismo. Si ha recibido este mensaje por error, por favor notifíquelo al remitente y proceda a destruirlo inmediatamente.

Síganos en redes sociales:
Twitter Linkedin Youtube Telegram
       
© 2021 Centro Criptológico Nacional, Argentona 30, 28023 MADRID
 
Si desea cancelar su suscripción a estos boletines pinche aquí
 

CCN-CERT AL 07/21 Vulnerabilidad en Microsoft (01/07/2021)

 
Cabecera
separador
Vulnerabilidad en Microsoft

Fecha de publicación: 01/07/2021
Nivel de peligrosidad: CRÍTICO

El Equipo de Respuesta ante Incidentes de Seguridad de la Información del Centro Criptológico Nacional, CCN-CERT, alerta de la publicación de actualizaciones de seguridad de Microsoft correspondientes al mes de junio.

Con el lanzamiento del boletín de seguridad de Microsoft correspondiente al mes de junio se solucionaron 50 vulnerabilidades; 10 de las cuales fueron calificadas como críticas; y 40 fueron catalogadas como altas, según el criterio de la compañía.

Sin embargo, una de esas vulnerabilidades, inicialmente catalogada como alta, ha sido reclasificada a un nivel crítico. Este error, en un principio fue clasificado como una vulnerabilidad que permitía solamente una escalada de privilegios dentro del sistema, no obstante, en esta nueva reclasificación, se le ha otorgado un nivel crítico debido a que permite la ejecución de código de forma remota (RCE).

El CVE asignado es el CVE-2021-1675, y se ha publicado esta nueva clasificación en la página oficial de Microsoft después de que el equipo de ciberseguridad de la empresa China QiAnXin Technology explotara esta vulnerabilidad llegando a ejecutar código arbitrario de forma remota. En concreto, la vulnerabilidad reside en el servicio Print Spooler (spoolsv.exe) encargado de administrar el proceso de impresión, afectando a todas las versiones del sistema operativo Windows. Destacar que desde la empresa China se ha evitado revelar los detalles técnicos sobre el ataque.

Asimismo, en adición a lo anterior, tres analistas de la firma de seguridad china Sangfor, publicaron un exploit para aprovechar esta vulnerabilidad después de que los investigadores de QiAnXin compartieran el video de la prueba de concepto (PoC) realizada en sus investigaciones. Unas pocas horas más tarde, los expertos retiraron el exploit.

Imagen Microsoft

Imagen 1: captura cuenta twitter investigadores Sangfor.

No obstante, y aunque los investigadores retiraran el exploit publicado, se puede acceder a dicho exploit de manera pública en un repositorio publicado en github, por ello, esta vulnerabilidad cobra especial importancia:

La base de datos del NIST ya registró este CVE en el momento de la publicación del informe mensual de Microsoft el pasado 8 de junio. Sin embargo, todavía no se ha realizado una reclasificación de la misma ni se le ha asignado una puntuación mayor, según la escala CVSSv3.

Recursos afectados:

  • Sistemas operativos Windows 10.
  • Sistemas operativos Windows 8.
  • Sistemas operativos Windows 7.
  • Windows Server 2019.
  • Windows Server 2016.
  • Windows Server 2012.
  • Windows Server 2008.

Solución a la vulnerabilidad:

Con la publicación de la última actualización de seguridad, Microsoft ha corregido esta vulnerabilidad descrita. Las actualizaciones se encuentran disponibles desde el propio update automático de Windows, o bien, mediante su descarga manual y posterior instalación.

Recomendaciones:

Se recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad en cuanto se encuentren disponibles, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos. Por el momento, Microsoft no ha revelado medidas de mitigación alternativas a la actualización de los sistemas a fin de parchear la vulnerabilidad descrita.

Sin embargo, como solución alternativa si no es posible aplicar los parches de seguridad correspondientes, se recomienda deshabilitar el servicio Print Spooler:

Referencias:

Atentamente,

Equipo CCN-CERT

Avisos

Información IMPORTANTE sobre vulnerabilidades, con alto nivel de riesgo, que deben ser atendidas con especial prontitud por parte de las organizaciones potencialmente afectadas.

Alertas

Información sobre situaciones que requieren atención INMEDIATA por parte de las organizaciones potencialmente afectadas.

 Sobre CCN-CERT

Política de privacidad

Aviso de Confidencialidad

El presente mensaje va dirigido de manera exclusiva a su destinatario. Si usted no es el destinatario de este mensaje (o la persona responsable de su entrega), considérese advertido de que lo ha recibido por error, así como de la prohibición legal de realizar cualquier tipo de uso, difusión, reenvío, impresión o copia del mismo. Si ha recibido este mensaje por error, por favor notifíquelo al remitente y proceda a destruirlo inmediatamente.

Síganos en redes sociales:
Twitter Linkedin Youtube Telegram
       
© 2021 Centro Criptológico Nacional, Argentona 30, 28023 MADRID
 
Si desea cancelar su suscripción a estos boletines pinche aquí
 
Ministerio de Defensa
CNI
CCN
CCN-CERT