Un error crítico en el administrador de trabajos de impresión permite a los atacantes piratear cualquier versión de Microsoft Windows

2016-07-12T23:17:00-11:00Martes, 12 de julio de 2016 por Swati Khandelwal


El Patch Tuesday de julio de Microsoft presenta 11 boletines de seguridad, seis de ellos considerados críticos, que resuelven casi 50 vulnerabilidades de seguridad en su software.

La empresa ha revisado una brecha de seguridad en el servicio de administrador de trabajos de impresión de Windows que afecta a todas las versiones compatibles de Windows que se han lanzado. Si un atacante la aprovechara, podría tomar el control de un dispositivo mediante un sencillo mecanismo.

La brecha crítica (CVE-2016-3238) tiene que ver, en realidad, con la forma en que Windows administra la instalación de los controladores de impresora, así como con la forma en que los usuarios finales se conectan a ella.


La brecha podría permitir que un atacante instalara software malintencionado de forma remota en un equipo víctima para ver, modificar o eliminar datos o para crear cuentas nuevas con todos los derechos de usuario, de acuerdo con el comunicado que Microsoft

publicó el martes en el boletín MS16-087.

Los usuarios que inician sesión en el sistema con menos derechos de usuario se ven menos afectados que los usuarios con derechos de administración, como algunas cuentas personales y algunos usuarios de las versiones de servidor.

Microsoft ha afirmado que la brecha crítica podría permitir la ejecución del código remoto si un atacante lograra ejecutar ataques de tipo “Man in the middle” (MiTM) en un sistema o un servidor de impresión, así como la configuración de un servidor de impresión no autorizado en una red de destino.

La brecha crítica fue descubierta y señalada por los investigadores de la empresa de seguridad Vectra Networks, quienes revelaron ciertos detalles sobre la vulnerabilidad, pero no publicaron su código de prueba de concepto (PoC).

En el siguiente vídeo se puede observar el proceso de pirateo:


En el caso de las redes empresariales, los administradores de red permiten de manera predeterminada que las impresoras envíen los controladores necesarios a las estaciones de trabajo o a los sistemas conectados a la red. Dichos controladores se instalan silenciosamente sin que haya interacción con el usuario y se ejecutan con todos los privilegios bajo el usuario SISTEMA.

Según los investigadores, los atacantes pueden reemplazar estos controladores de la impresora por archivos malintencionados, lo que les permitiría ejecutar el código que quisieran.


Y hay algo aún más preocupante. Si la impresora está protegida por un servidor de seguridad, los atacantes pueden llegar a piratear otros dispositivos o equipos de esa red y usarlos para hospedar sus archivos malintencionados.

Ataques “Watering hole” a través de impresoras


Como en el caso de los servidores, muchos equipos también están conectados a impresoras para imprimir documentos y descargar controladores. Esta brecha permite que un pirata informático ejecute ataques del tipo “Watering hole” técnicamente con impresoras.

Los ataques de este tipo, así como las descargas ocultas, se utilizan para infectar empresas y organizaciones con software malintencionado con el objetivo de obtener acceso a la red.

“En lugar de infectar a los usuarios individualmente, un atacante puede convertir una impresora en un abrevadero que infectará todos los dispositivos Windows que interactúen con ella”, afirma el responsable de seguridad de Vectra, Gunter Ollmann.

“Todos los usuarios que se conecten a la impresora compartida descargarán el controlador malintencionado. Esto traslada el vector de ataque de los dispositivos físicos a cualquier dispositivo de la red capaz de hospedar una imagen de impresora virtual”.

Esta brecha (CVE-2016-3238) es, de lejos, la vulnerabilidad más peligrosa del año, ya que es fácil de ejecutar, proporciona varias formas de lanzar ataques y afecta a una enorme cantidad de usuarios.

Una segunda vulnerabilidad mencionada en el boletín de MS16-087 y relacionada con esta, la CVE-2016-3239, es una brecha de escalación de privilegios que podría permitir a los atacantes escribir en el sistema de archivos.

El boletín de seguridad de Microsoft Office MS16-088 incluye revisiones de siete vulnerabilidades de ejecución de código remoto (RCE), seis de las cuales son brechas de corrupción de la memoria que afectan a Microsoft Office, SharePoint Server y Office Web Apps.

Las brechas se pueden explotar por medio de archivos de Office especiales y pueden permitir que los atacantes ejecuten código arbitrario con los mismos privilegios que el usuario que ha iniciado sesión.

El boletín MS16-084 corrige las brechas encontradas en Internet Explorer, mientras que el MS16-085 se encarga de las de Microsoft Edge. Las brechas de IE incluyen errores relativos a la RCE, la escalación de privilegios, la revelación de información y la omisión de seguridad.

Las brechas de Edge incluyen un puñado de errores de RCE y de corrupción de la memoria en el motor de JavaScript Chakra, así como errores relativos a la omisión de ASLR, la revelación de información, la corrupción de la memoria del explorador y la suplantación de direcciones.

El boletín MS16-086 corrige una vulnerabilidad en los motores JScript y VBScript de Windows que podría permitir que un atacante ejecutara código remoto, lo que afectaría a VBScript 5.7 y a JScript 5.8.

Los otros cinco boletines considerados importantes corrigen brechas en el modo kernel seguro de Windows, los controladores del modo kernel de Windows, .NET Framework, el kernel de Windows y el proceso de arranque seguro.

Se recomienda a los usuarios que revisen su sistema y su software lo antes posible.

Original: http://thehackernews.com/2016/07/printer-security-update.html