Visión general
Este artículo discutirá información relacionada con las siguientes vulnerabilidades:
| CVE | Producto afectado | CVSSv3 |
|---|---|---|
| CVE-2021-1675 | Servicio de cola de impresión de Windows |
9,8 |
| CVE-2021-34527 | Servicio de cola de impresión de Windows | 8.8 |
Antecedentes
Actualmente hay dos CVEs importantes:
- En junio de 2021, se identificó una vulnerabilidad de ejecución remota de código (RCE) en el servicio de cola de impresión de Windows y se asignó CVE-2021-1675.
- El 1 de julio, Microsoft lanzó un aviso para CVE-2021-34527. Esto ha sido referido como 'PrintNightmare' por los medios de comunicación. Microsoft señala que este CVE es un problema distinto y separado del fallo abordado por CVE-2021-1675.
Impacto
La vulnerabilidad más notable divulgada como parte de este aviso es CVE-2021-34527 (PrintNightmare). Esta es una vulnerabilidad de ejecución remota de código que afecta al servicio de cola de impresión de Windows, y no requiere que un sistema tenga una impresora conectada para ser vulnerable.
CVE-2021-1675
La explotación de CVE-2021-1675 podría dar a los atacantes remotos control total de los sistemas vulnerables. Para lograr una ejecución remota de código, los atacantes necesitarían apuntar a un usuario autenticado al servicio de cola. Sin autenticación, el fallo podría ser explotado para elevar privilegios, haciendo de esta vulnerabilidad un enlace valioso en una cadena de ataque.
CVE-2021-1675 fue abordado por una actualización de seguridad de Microsoft lanzada el 8 de junio de 2021.
CVE-2021-34527
CVE-2021-34527, anunciado el 1 de julio, es también una vulnerabilidad de ejecución remota de código dentro del servicio de cola de impresión de Windows. La explotación exitosa de la vulnerabilidad permitiría a los atacantes la capacidad de ejecutar código arbitrario con privilegios SYSTEM, incluyendo la instalación de programas, ver/cambiar/eliminar datos, o crear nuevas cuentas con derechos de usuario completos. Aunque esto aún requiere una cuenta de usuario autenticada como con CVE-2021-1675.
Un ataque debe involucrar a un usuario autenticado llamando a RpcAddPrinterDriverEx().
Todas las versiones de Windows son potencialmente vulnerables.
La Resolución de Cato
En vista de proteger a nuestros clientes, Cato ha tomado los siguientes pasos:
- Desplegó globalmente un conjunto de firmas del Sistema de Prevención de Intrusiones (IPS) para mitigar esta amenaza de vulnerabilidad.
- Si tiene activado el IPS de Cato, está protegido de esta explotación sin necesidad de cambios manuales en la configuración (o de actualizar la base de datos de firmas IPS) por su parte. Sin embargo, le aconsejamos seguir los avisos del proveedor para mitigar la explotación en su origen.
- En el caso de que se identifique tráfico malicioso no cifrado que coincida con el perfil de firma de CVE-2021-1675 o CVE-2021-34527, este tráfico será bloqueado y se generará un registro de evidencia dentro de la Cato Management Application en la ventana de Events Discovery.
Nota: Se recomienda seguir el aviso de seguridad de Microsoft y desactivar el servicio de cola de impresión en las plataformas afectadas hasta que se haya lanzado un parche de Microsoft para abordar esta vulnerabilidad.
Además, en Cato recomendamos que siempre mantenga sus sistemas actualizados con las últimas actualizaciones de seguridad de Microsoft y estrategias de mitigación del proveedor. Esto puede ayudar a mitigar cualquier vulnerabilidad adicional que pueda surgir con los productos de Microsoft.
0 comentarios
Inicie sesión para dejar un comentario.