jueves, 14 de mayo de 2020

Con este comando de PowerShell de Windows los hackers pueden instalar una puerta trasera que no se puede quitar con parche

Un equipo de especialistas en ciberseguridad acaba de publicar un reporte sobre una vulnerabilidad en el proceso de impresión del sistema operativo Windows. Según los investigadores, esta falla está presente en todas las versiones del sistema desde Windows NT 4, de 1996. La vulnerabilidad, apodada ‘PrintDemon’, reside en Windows Print Spooler, el componente principal de Windows para la administración de las operaciones de impresión.

Windows Print Spooler puede enviar datos de impresión a un puerto USB en el caso de impresoras conectadas físicamente, o bien a un puerto TCP para impresoras que residen en una red local o en Internet. Este servicio también puede enviar datos en un archivo local, en caso de que el usuario desee guardar un trabajo de impresión para otro momento.

En el reporte, elaborado por los investigadores Alex Ionescu y Yarden Shafir, se menciona el hallazgo de este antiguo error de seguridad. Al parecer, los actores de amenazas podrían abusar de este componente para tomar control del mecanismo interno de Printer Spooler. Cabe mencionar que esta falla no puede ser explotada de forma remota a través de Internet, por lo que el hackeo de sistemas Windows aleatorios en la red no es una posibilidad.

Esta es una falla de escalada de privilegios locales, por lo que los actores de amenazas sólo requieren un punto de acceso mínimo a un sistema o máquina Windows  y privilegios de usuario para ejecutar un comando PowerShell sin privilegios para obtener acceso a nivel administrador en el sistema operativo, Acorde a los expertos, el ataque es posible debido a la forma en la que está diseñado el servicio Print Spooler.

El servicio de impresión está disponible sin mayores restricciones para cualquier aplicación en el sistema que quiera imprimir un archivo. Los actores de amenazas pueden crear un documento para su impresión (un archivo DLL local empleado por el sistema operativo, por ejemplo), iniciar el proceso de impresión y detener el servicio intencionalmente para posteriormente reanudar la operación, sólo que esta vez con privilegios de sistema. Este proceso les permitirá sobrescribir cualquier archivo en cualquier parte del sistema operativo.

Acorde a los expertos, la explotación de esta vulnerabilidad en las más recientes versiones del sistema Windows requeriría el uso de una sola línea de PowerShell, aunque el proceso se complica en versiones anteriores: “En un sistema sin actualizaciones de seguridad, un hacker malicioso podría explotar la falla para instalar un backdoor persistente, que no desaparecería incluso después de actualizar el sistema vulnerable”.   

Por fortuna la vulnerabilidad fue corregida como parte del parche de Microsoft de mayo de 2020, por lo que los investigadores pudieron publicar los detalles. Identificada como CVE-2020-1048, la falla fue reportada por Ionescu y Shafir hace alrededor de un mes.

Los expertos también reportaron una falla similar afectando el servicio de fax de Windows cuya explotación permitiría a los hackers secuestrar archivos locales para instalar backdoors en los sistemas vulnerables. Esta falla, identificada como FaxHell, también fue corregida por la compañía en la actualización de mayo.

El cargo Con este comando de PowerShell de Windows los hackers pueden instalar una puerta trasera que no se puede quitar con parche apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

No hay comentarios.:

Publicar un comentario