Una vulnerabilidad de más de 20 años en Windows

El pasado martes Microsoft publicó sus acostumbradas actualizaciones, entre las que se incluía el anuncio (en el boletín MS16-087) de una actualización para los componentes del servicio de cola de impresión de Windows. Se solucionaba una vulnerabilidadque existe en todos los Windows desde hace más de 20 años y que puede permitir la propagación de malware en una red.

Investigadores de Vectra Networks han descubierto una vulnerabilidad que llevaba 20 años escondida en los sistemas operativos de Microsoft, desde la época de Windows 95. El problema reside en el software Windows Print Spooler (cola de impresión Windows) encargado de la administración de impresoras disponibles y la impresión de documentos.

Concretamente el problema se debe al protocolo "Microsoft Web Point-and-Print", que almacena el controlador en la impresora o en el servidor de impresión, de forma que los usuarios que precisen esa impresora recibirán los drivers cuando los necesiten. Así se evita la necesidad de un administrador que instale los controladores. Y ahí precisamente reside el problema.

"The user gets access to the printer driver
they need without requiring an administrator
– a nice win-win."

El protocolo no verifica la legitimidad de los controladores de una impresora cuando se encuentra conectada, lo que posibilita a un atacante introducir un driver malicioso sin levantar ninguna alarma. No solo eso, sino que cuando alguien quiera hacer uso de esa impresora el controlador con contenido malicioso se instalará en el equipo, con lo que conseguirá propagarse e infectar nuevos sistemas.

"This stage allow installation of a printer driver without
any user warning, uac or even binary signature verification,
and all under the system rights."

El equipo de Vectra Networks expone en un completo informe como explotar la vulnerabilidad:

http://blog.vectranetworks.com/blog/microsoft-windows-printer-wateringhole-attack

Y un vídeo:

https://www.youtube.com/watch?v=DuMk-yxZApA

Se pueden dar diferentes escenarios de ataques, como troyanizar una impresora o servidor de impresión existente directamente a través de la propia ruta del controlador del servidor de impresión (c:\windows\system32\spool\drivers\*\3\...), del servidor cups Linux o fabricantes que soportan "Point-and-Print" en la propia impresora. También sería posible realizar un ataque de hombre en el medio a la impresora para inyectar el controlador troyanizado

Microsoft ha publicado el boletín MS16-087, que soluciona esta vulnerabilidad (CVE-2016-3238) y otra de elevación de privilegios con CVE-2016-3239. Sin embargo, el problema afecta a todas las versiones de Windows desde Windows 95. Pero las actualizaciones de Microsoft no cubren los sistemas más antiguos, lo que aun puede dejar expuestos un gran número de sistemas. En este sentido, el mayor punto débil son los sistemas con Windows XP, en torno a un 10% de los ordenadores que aun siguen en uso, y que ya está fuera del soporte de Microsoft.

Más información:

Microsoft Security Bulletin MS16-087 - Critical

Security Update for Windows Print Spooler Components (3170005)

https://technet.microsoft.com/library/security/MS16-087

una-al-dia (13/07/2016) Microsoft publica 16 boletines de seguridad y soluciona 36 vulnerabilidades

http://unaaldia.hispasec.com/2016/07/microsoft-publica-11-boletines-de.html

The new vulnerability that creates a dangerous watering hole in your network

http://blog.vectranetworks.com/blog/the-new-vulnerability-that-creates-a-dangerous-watering-hole-in-your-network

Own a printer, own a network with point and print drive-by

http://blog.vectranetworks.com/blog/microsoft-windows-printer-wateringhole-attack

una-al-dia (07/04/2014) eXPira el Windows más longevo de Microsoft

http://unaaldia.hispasec.com/2014/04/expira-el-windows-mas-longevo-de.html