Semana de la seguridad 21: Vulnerabilidad del servicio de impresión de Windows

Las noticias más interesantes de la semana pasada llegaron como parte del próximo paquete de servicios para sistemas operativos y software de Microsoft (un artículo de revisión ). En total, los desarrolladores cerraron 111 vulnerabilidades, 16 de ellas graves. A diferencia de las actualizaciones acumulativas anteriores, no se explotó un solo error hasta que se lanzó el parche.

La vulnerabilidad CVE-2020-1048 (descripción en el sitio web de Microsoft, discusión sobre Habré) en el servicio de impresión de Windows (más precisamente, en el módulo Windows Print Spooler ) se destaca no por el grado de amenaza, sino por su historia. Se encontró en un antiguo código que, aparentemente, no se ha actualizado desde Windows NT4.

La descripción formal del problema es la siguiente: una vulnerabilidad en Print Spooler permite a un usuario local aumentar los privilegios, ya que proporciona acceso aleatorio al sistema de archivos. El pasado martes 12 de mayo, los investigadores Alex Ionescu y Yarden Shafir publicaron una descripción detallada del problema. En palabras simples, CVE-2020-1048 se formula al final del artículo: este es un error increíblemente fácil de usar: el sistema puede ser "atacado" con solo un par de comandos en PowerShell. Y eso no es todo: el estudio nos envía a un código aún más obsoleto para enviar faxes (!) Y el ataque industrial Stuxnet.

La publicación describe en detalle el mecanismo de operación de Print Spooler, un sistema que se encarga tanto de imprimir documentos como de administrar impresoras. Puede funcionar con dispositivos de impresión locales y de red, y también admite la impresión en un archivo. El último método se describe en detalle en el artículo, incluido el mecanismo para agregar una impresora virtual a través de un comando en PowerShell. Con este resultado:

Al final, todo se reduce a presentar al equipo mágico del tweet anterior. Windows no verificó la validez del "destino", lo que hizo posible crear una "impresora" con un registro en el archivo del sistema, en este caso, la biblioteca ualapi.dll. Es suficiente "imprimir" una entrada ejecutable arbitraria en una "impresora" de este tipo, y obtendrá el control total sobre el sistema. En el parche, los desarrolladores de Microsoft agregaron la verificación del puerto de impresión. Más precisamente, existía antes de eso, pero solo funcionaba cuando se usaban las herramientas para trabajar con Print Spooler a través de una interfaz gráfica (una investigación de Windows Internals muestra un intento de crear dicha herramienta). Sin embargo, no funcionó cuando se trabajaba desde la línea de comandos.

Este estudio tiene antecedentes: ya el 30 de abril, Ionescu y Shafir publicaronun artículo sobre un ataque similar, pero a través de un servicio de fax (¿recuerdas qué es? ¿No? ¡Y Windows todavía los admite!). En ese momento, los investigadores ya conocían la vulnerabilidad en Print Spooler, pero tuvieron que esperar el lanzamiento de parches. Por lo tanto, la publicación anterior tenía que ser ilógica para llamar a la segunda parte del estudio, y en un par de semanas para publicar la primera.

En 2010, se cerró una vulnerabilidad similar en el sistema de impresión de Windows : escalada de privilegios en el sistema mediante la "impresión" arbitraria de datos en un archivo. El problema se explotó como parte del ataque cibernético Stuxnet y se agregó a la caja de herramientas para solucionarlo en el sistema de destino. En realidad, lo descubrimos durante el estudio.código malicioso. Como resultado de un incidente hace 10 años, la defensa de Print Spooler se fortaleció, pero, como está claro, no es lo suficientemente buena.

Sophos ha entrevistado a empresas sobre ciberataques de ransomware. La cantidad promedio de pérdidas debido a tales incidentes ascendió a 730 mil dólares, pero esto es si no paga el rescate, sino que obtiene una copia de los datos de la copia de seguridad y de otras maneras restaura la infraestructura.

Lo más interesante es que el daño promedio entre aquellos que cumplieron con los requisitos de las galletas resultó ser el doble: 1,4 millones de dólares. En parte, esta es la "temperatura promedio en el hospital", ya que la protección competente y la reserva pueden ahorrar seriamente. Pero este es otro argumento para no pagar a los ciberdelincuentes, además de muchos ejemplos de doble extorsión, cuando exigen dinero por descifrar los datos y luego por no distribuirlos.

Microsoft está probando el cifrado de DNS utilizando DNS sobre HTTPS. Función disponible en Windows 10 Insider Preview Build 19628 .

Los representantes de Facebook pagaron $ 20 mil por detectar un error en el servicio Continuar con Facebook. Le permite iniciar sesión en recursos de terceros a través de una cuenta en la red social. El investigador Vinot Kumar descubrió que Continuar con Facebook utiliza el código JavaScript de los servidores de Facebook para funcionar, que puede reemplazarse, lo que le permite secuestrar la cuenta de un visitante del sitio. Vulnerabilidad encontrada en el

plugin Page Builder para Wordpress. En teoría, hasta un millón de sitios web están sujetos a él; el error permite atacar una cuenta de administrador de Wordpress mediante la ejecución de código malicioso en un navegador.