NUESTRO BLOG

Los expertos en seguridad han notado que los operadores de ransomware han agregado exploits a su arsenal para los problemas de PrintNightmare y los están utilizando para implementar cargas útiles del ransomware Magniber.
Desarrolladores de ransomware han adoptado exploits para PrintNightmare

Los expertos en seguridad han notado que los operadores de ransomware han agregado exploits a su arsenal para los problemas de PrintNightmare y los están utilizando para implementar cargas útiles del ransomware Magniber.

¿Qué es PrintNightmare? Es una vulnerabilidad crítica localizada en la cola de impresión de Windows

La Cronología de PrintNightmare

El 8 de junio de este año, Microsoft publicó el CVE-2021-1675, titulado “Windows Print Spooler Remote Code Execution Vulnerability”, es decir, que existe una vulnerabilidad de ejecución remota de código en el administrador de impresión de Windows. Nada hizo pensar, en su momento, que su trascendencia fuera a escalar hasta el punto actual. En aquel momento parecía una amenaza menor, que se había identificado antes de ser explotada y que se podía solucionar fácilmente. No había, entonces porque preocuparse.

Sin embargó como va transcurriendo el tiempo, las principales agencias de seguridad del mundo empezaron a emitir comunicados en los que alertaba sobre una actualización importante de CVE-2021-1675. Mensajes que urgían a usuarios y organizaciones públicas y privadas a adoptar, de inmediato, medidas para protegerse de esta amenaza. En ese mismo espacio temporal, Microsoft publicaba la vulnerabilidad CVE-2021-34527, que es a la que le corresponde el sobrenombre de PrintNightmare.

A diferencia de CVE-2021-1675, que recibió una calificación de riesgo alto, PrintNightmare se ganó, desde un primer momento, la calificación de vulnerabilidad crítica, pues permite la ejecución de código de manera remota. Desde ese momento se han producido varias actualizaciones, y Microsoft no ha dejado de trabajar día y noche en este problema. Mientras tanto, y a la espera de una solución definitiva, también hemos podido leer varias recomendaciones para mitigar sus riesgos.

PrintNightmare.- Es una vulnerabilidad crítica localizada en la cola de impresión de Windows

El nombre PrintNightmare combina toda una clase de vulnerabilidades ( CVE-2021-1675 , CVE-2021-34527 y CVE-2021-36958 ) que afectan el servicio Windows Print Spooler, los controladores de impresión y la funcionalidad de Windows Point and Print.

Microsoft ya lanzó parches para CVE-2021-1675 y CVE-2021-34527 en julio y agosto de este año, pero los investigadores encontraron que los problemas aún no están completamente resueltos y los atacantes aún pueden obtener privilegios de nivel de sistema simplemente conectándose a servidor de impresión remoto. A este problema se le ha asignado recientemente el ID CVE-2021-36958.

Crowdstrike ahora informa que los piratas informáticos pusieron en servicio los problemas de PrintNightmare el mes pasado. Las vulnerabilidades son explotadas por al menos un grupo de piratas informáticos detrás del ransomware Magniber, que utiliza exploits PrintNightmare contra las víctimas de Corea del Sur.

Después de comprometer los servidores que no tienen instalados los parches PrintNightmare, Magniber utiliza un cargador de DLL ofuscado, que primero se inyecta en el proceso y luego se desempaqueta para realizar un recorrido de archivo local y cifrar archivos en el dispositivo comprometido.

Si bien los expertos creen que solo Magniber utiliza exploits para PrintNightmare para sus ataques, esperan que otros grupos de piratas informáticos, especialmente los desarrolladores de ransomware, pronto se aprovechen de las vulnerabilidades.

Newsletters

Suscríbete

Últimos artículos en nuestro blog

Nuestros Servicios

SEGURIDAD INFORMÁTICA

Contamos con tecnologías de vanguardia en materia de seguridad que mantendrá su empresa bajo un entorno de seguridad y confianza.

INFRAESTRUCTURA

IT

Tenemos la solución correcta que le permitirán a su empresa, convertir la tecnología en el mejor aliado para lograr sus objetivos.


SOC-NOC HORUS

Monitorea, Administra y Soporta cualquier componente de su infraestructura

tecnológica con la finalidad de tener una respuesta proactivabajo un esquema 7x24x365.

REDES DE DATOS

Nuestras Redes de Datos permiten a nuestros clientes definir los mejores esquemas de Red LAN y WLAN, para poder aprovechar al máximo los recursos de su organización.

CONSULTORÍA

GRC

Una plataforma madura para el manejo de la gestión del riesgo, seguridad y TI, Gestión Empresarial y Operativo, Gobernanza de Terceros y Gestión de Auditorías.

AVISO DE PRIVACIDAD I POLÍTICA DEL SISTEMA DE GESTIÓN INTEGRAL

SAYNET

Copyright © Derechos Reservados 2020