Una vulnerabilidad en Windows de más de 20 años

vulnerabilidad

El martes de la semana anterior, Microsoft publicó sus clásicas actualizaciones, entre las que se encontraba el anuncio (el boletín MS16-087) de una actualización para componentes del servicio de cola de impresión de Windows

Y así, se solucionaba una vulnerabilidad que existe en todos los Windows desde hace más de 20 años y permitía la propagación de malware en toda la red.

Investigadores de Vectra Networks han descubierto una vulnerabilidad que llevaba 20 años escondida en los sistemas operativos de Microsoft, desde la época de Windows 95. El problema se ecnuentra en el software Windows Print Spooler (o “cola de impresión Windows”, para los amigos) encargado de la administración de impresoras disponibles así como la impresión de documentos varios.

Concretamente el problema viene dado por el protocolo “Microsoft Web Point-and-Print, que almacena el driver en la impresora o en el servidor de impresión, de esta forma los usuarios que precisen dicha impresora recibirán estos drivers  directamente cuando los necesiten. Así, trataban de evitar la necesidad de un administrador que instale los mencionados drivers. Y ahí es precisamente donde el problema reside.

The user gets access to the printer driver they need without requiring an administrator – a nice win-win.

Este protocolo no verifica la legitimidad de los drivers de una impresora cuando está conectada, hecho que posibilita a un atacante introducir un driver malicioso evitando levantar ninguna alarma. Y no solo éso, sino que cuando algún usuario quiera hacer uso de la impresora infectada, el controlador con contenido malicioso infectará el equipo, con lo que conseguirá propagarse rápidamente e infectar nuevos sistemas.

This stage allow installation of a printer driver without any user warning, uac or even binary signature verification, and all under the system rights.

El equipo de Vectra Networks expone en un completo informe como explotar esta vulnerabilidad:

Se pueden dar diferentes escenarios de ataques, como troyanizar una impresora o el PrintServer existente directamente mediante la propia ruta de dicho driver del PrintServer (c:\windows\system32\spool\drivers\*\3\…), del servidor cups Linux o fabricantes que soportan “Point-and-Print” en la propia impresora. También sería posible realizar un ataque de “man-in-the-middle” a la impresora para inyectar el driver infectado.

Microsoft ha publicado el boletín MS16-087, que al fin soluciona esta vulnerabilidad (CVE-2016-3238) y otra de elevación de privilegios con CVE-2016-3239. Aún así, el problema afecta a todas las versiones de Windows desde el primitivo Windows 95. Pero las actualizaciones de Microsoft no cubren los sistemas más antiguos, lo que aun puede dejar expuestos un gran número de sistemas. En este aspecto, el mayor punto débil son sistemas con Windows XP, en torno a un 10% de los ordenadores que aun siguen en uso, y que ya no cuentan con el soporte de Microsoft.

 

 

¿Necesitas actualizar tu ordenador, o reparar tu PC? No dudes en acudir a 021 Informátics, tu tienda informática y de servicios informáticos en Sant Cugat.

Realizamos trabajos de disseny web Sant Cugat i manteniments informàtics.

¿Te ha gustado? Pues compárteloShare on FacebookTweet about this on TwitterShare on Google+Share on Tumblr

Comments


Deja un comentario