¿ Estoy protegido de la vulnerabilidad PrintNightmare?

Archivado
Buenas tardes, de nuevo por aquí para pedir ayuda a la comunidad :-|

Hoy he descubierto que existe una vulnerabilidad llamada PrintNightmare para Windows, de la cual debería estar protegido al haber instalado una actualización el pasado día 7 de julio, pero no lo tengo del todo claro.

Dado mi escaso nivel de inglés, después de leer he intentado buscar con regedit la clave( no sé si es la expresión correcta) que indican en el Executive Summary: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint

Al no aparecer dicha clave, y tener windows 10 actualizado contra esa vulnerabilidad, ¿ estaría protegido?

Un cordial saludo y muchas gracias por adelantado :)
Esa vulnerabilidad hace semanas que se hizo eco de su existencia, y ¿porque no habra tomado relevancia en las noticias?, sera que para que seas victima debes estar en ciertas circunstancias especificas para que pueda explotarse esa vulneracion. Como sea, dentro de las notas salio que la actualizacion y el parche de mugrosoft no resuelven la vulnerabilidad, siendo mejor opcion una solucion creada por terceros; ajenos a microsoft, y a estas fechas mugrosoft sigue sin cubrir realmente esta vulnerabilidad.
TRASTARO escribió:Esa vulnerabilidad hace semanas que se hizo eco de su existencia, y ¿porque no habra tomado relevancia en las noticias?, sera que para que seas victima debes estar en ciertas circunstancias especificas para que pueda explotarse esa vulneracion. Como sea, dentro de las notas salio que la actualizacion y el parche de mugrosoft no resuelven la vulnerabilidad, siendo mejor opcion una solucion creada por terceros; ajenos a microsoft, y a estas fechas mugrosoft sigue sin cubrir realmente esta vulnerabilidad.


Lamento informarte que esa vulnerabilidad fué separada en dos CVE diferentes.

1º CVE-2021-1675 Resuelta en el parche de 8 de Junio de Microsoft.
2º CVE-2021-34257. Resuelta en el parche del dia 6 de Julio correspondiente a cada sistema operativo de Windows.

Cabe destacar que para que funcione tienes que añadir las claves de registro, que indica el user y el parche correspondiente que te indico para estar seguro.

Probado esta mañana en un windows 10 antes del parche, despues de la modificación del registro y después de registro +parche.

Al pasar el POC sin nada el POC indica " INFO -- (IP DEl equipo) is vulnerable over MS-RPRN. Reason: Host attempted to grab DLL from suplied Share".

Después del registro + parche indica " INFO -- (IP DEl equipo) is not vulnerable over MS-RPRN. Reason: RPC call returned acess denied. This is usually an indication the host has been patched "adn" Point & Print is disabled.

Probado con el deparamento de seguridad Corporativa de la empresa para la cual trabajo.
Buenos días y gracias por vuestros comentarios @TRASTARO Y @Jar-Jar :)

@TRASTARO, ¿ y a qué solución de terceros te refieres? Yo al haber encontrado esta que ofrece Microsoft pensé que sería suficiente, pero por tu comentario creo entender que no lo es.

@Jar-Jar, entonces si no te he entendido mal, ¿ debería añadir esas claves en el registro para estar "totalmente" protegido contra la vulnerabilidad? ¿ Y es ese el motivo por el cual no aparecen cuando las busco, porque yo mismo he de crearlas?

Dado que mi nivel de inglés es muy bajo, y he tenido que recurrir a un traductor online, yo entendía que donde pone or are not defined (Note: These registry keys do not exist by default, and therefore are already at the secure setting.) venía a decir que si no está definida esa clave en el registro( como entiendo es mi caso) ya estaría cubierto.

Un cordial saludo y gracias de nuevo por vuestra rápida respuesta, como siempre es un gusto participar en un foro como el de EOL ;)

Vaya, he empezado a dar el +1 desde abajo y no me deja darte uno a tí @TRASTARO, no entiendo el porqué si solo he dado otro +1 [risita]
nizcalo escribió:Buenos días y gracias por vuestros comentarios @TRASTARO Y @Jar-Jar :)

@TRASTARO, ¿ y a qué solución de terceros te refieres? Yo al haber encontrado esta que ofrece Microsoft pensé que sería suficiente, pero por tu comentario creo entender que no lo es.

@Jar-Jar, entonces si no te he entendido mal, ¿ debería añadir esas claves en el registro para estar "totalmente" protegido contra la vulnerabilidad? ¿ Y es ese el motivo por el cual no aparecen cuando las busco, porque yo mismo he de crearlas?

Dado que mi nivel de inglés es muy bajo, y he tenido que recurrir a un traductor online, yo entendía que donde pone or are not defined (Note: These registry keys do not exist by default, and therefore are already at the secure setting.) venía a decir que si no está definida esa clave en el registro( como entiendo es mi caso) ya estaría cubierto.

Un cordial saludo y gracias de nuevo por vuestra rápida respuesta, como siempre es un gusto participar en un foro como el de EOL ;)

Vaya, he empezado a dar el +1 desde abajo y no me deja darte uno a tí @TRASTARO, no entiendo el porqué si solo he dado otro +1 [risita]


Yo lo que te digo es que:

1º Añadas las claves de registro

• HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
• NoWarningNoElevationOnInstall = 0 (DWORD) or not defined (default setting)
• UpdatePromptSettings = 0 (DWORD) or not defined (default setting)

2º Instalar el KB necesario a tu revisión de tu Sistema Operativo.

Y entonces ya estarás protegido.

Un saludo.
No recuerdo en qué web lo ví, pero hace unos días en una web decían que incluso instalando la actualización de Windows correspondiente, se podía sequir explotando la vulnerabilidad y no solo en equipos con acceso físico, sino en remoto también, por lo visto el parche de Windows se podía esquivar por parte de un hacker algo experimentado. Si recuerdo donde lo vi, lo postearé y tal.

Por supuesto, más vale tenerlo instalado por si acaso, pero por lo que se ve, aún teniéndolo instalado se puede seguir explotando por parte de hackers experimentados.

Saludos.
Si no estoy equivocado viene porque la vulnerabilidad se "separo" por un lado la cve-2021-1675 , y la otra parte se seguia explotando.

Por otro lado en 0patch hay una solución que se deshabilita una vez que aplicas el parche de Microsoft.

Lo que yo indico y no es que sea ley, es que en la empresa para la que trabajo, con la clave de registro + patch está todo tapadito y el POC indica que no es vulnerable y si Seguridad corporativa indica que está todo correcto y no es vulnerable, me lo debo de creer, pues para eso son los expertos.

Luego que cada uno, diga o haga lo que crea conveniente.

Aparte de todo eso, si no tienes impresora en casa, con deshabilitar el servidor de impresión te proteges en un 95%.... pero eso te impediría por ejemplo imprimir en pdf...
Buenas tardes y gracias por vuestros comentarios @Jar-Jar y @javier español( soy incapaz de poner tu nick, lo siento) :)

@Jar-Jar, te adjunto una imagen con lo que he hecho en el registro( aunque no le he dado a guardar) para que me digas si está correcto de ese modo, y así volver a crearlo todo y darle a guardar en el registro.

Correcto.jpg (31.42 KB)



Al no haber tocado nunca el registro, he preferido subir la imagen para que me des el visto bueno antes de guardar ningún cambio en el registro( aunque tengo ya hecha, por si acaso, una copia de seguridad). Me ha parecido tan sencillo como crear un par de carpetas e introducir lo que aparece en el artículo, y por eso me da la impresión de que tal vez no sea tan sencillo como creo haberlo hecho.

Por cierto, qué ignorante me siento cuando leo términos como POC o servidor de impresión [buuuaaaa]

Si tú, siguiendo las indicaciones de los expertos en seguridad de tu empresa, consideras que es más seguro crear la clave pues se crea y listo, siempre que sea capaz de hacerlo correctamente, claro :cool:

Por cierto, acabo de entrar al registro y aunque no he guardado nada( tampoco he encontrado la opción para ello) parece que la clave ha quedado "registrada".

@javier español, yo también leí algo al respecto, pero al estar en inglés no me quedó demasiado claro el asunto. Imagino que esas personas que descubrieron que tras el parche aún se podía seguir explotando la vulnerabilidad, con unos ciertos conocimientos, fueron las que se pusieron en contacto con Microsoft y de ahí la actualización del artículo.

Un gustazo contar con su ayuda señores, un cordial saludo y espero que tengan un buen día ;)
Estaría mal lo del registro.

En el nombre del registro debes de borrar lo de =0
nizcalo escribió:Si tú, siguiendo las indicaciones de los expertos en seguridad de tu empresa, consideras que es más seguro crear la clave pues se crea y listo, siempre que sea capaz de hacerlo correctamente, claro :cool:



Microsoft está diciendo que si la clave está creada, que se borre, porque si está creada y el valor no se corresponde con lo que espera el parche, el parche no hace nada.

El que una clave no se vea no significa que no tenga un valor, sino que usa el que tenga por defecto.

Y trastaro lo único que está diciendo, entre otras cosas, es que este tipo de "vulnerabilidades" son muy específicas. La probabilidad de explotarla es baja, muy baja, también dependiendo de lo que haya entre la silla y el teclado.

Si no compartes tu impresora para otros ordenadores y suponiendo que sigues una política de usuario de bajos privilegios, necesitas de un virus que primero se ejecute con bajos privilegios y explote la vulnerabilidad y escale privilegios.

Si compartes tu impresora en la red podría darse el caso que un virus en otro equipo intentase escalar privilegios en el tuyo.

Si, además de compartir tu impresora en red, llega a darse el hipotético caso de que compartes esa impresora a través de Internet (que dios nos pille confesados con aquello que haya entre la silla y el teclado), cualquiera podría inyectar código en el servidor de impresión (no es más que la cola de espera de impresión, de hecho te la puedes saltar en las preferencias de cada impresora) de tu PC y escalar privilegios para hacer lo que le dé la real gana.


Estas cosas son las que no se explican con estas "vulnerabilidades", entre comillas, pues requieren escenarios muy concretos para poder llevarse a cabo. Esta en particular podría llegar a estar al mismo nivel de WanaCry, si se comparte la impresora en red, pero siempre se acaba en el mismo punto, depende de lo que haya hecho lo que esté entre la silla y el teclado.

Perdón [+risas]
Buenas noches y gracias por vuestros comentarios @Jar-Jar y @JohnH :)

@Jar-jar, pues lo he dejado así:

Correcto.jpg (30.97 KB)



Y espero que sea lo correcto porque tras el comentario de @JohnH aún sigo preocupadillo [boing]

@JohnH, creía entender del comentario de @TRASTARO lo que bien comentas; que hay que cumplir una serie de requisitos, y ser un poco "irresponsable", para verse afectado, pero me entró la hipocondria informática y aún sigo preocupado aunque menos, gracias a tu comentario ;)

Tienes una forma muy didáctica de explicar las cosas y es algo que te agradezco, sinceramente, porque uno intenta actuar de un modo racional y no descargarse cosas raras, pero como no te voy a negar que de cuando en cuando descargo alguna cosilla que otra pues claro, le entra a uno la congoja.

¿ Y ahora qué hago? Dejo la clave como acabo de actualizarla, la actualizo bien si es que tampoco ahora la he dejado fetén, la borro, me tomo un par de cervezas( yo, que llevo años sin beber alcohol) para olvidar por un rato... [fumando]

Es todo un placer compartir foro con personas tan atentas, un cordial saludo y a pasar buen fin de semana.
nizcalo escribió:¿ Y ahora qué hago? Dejo la clave como acabo de actualizarla, la actualizo bien si es que tampoco ahora la he dejado fetén, la borro, me tomo un par de cervezas( yo, que llevo años sin beber alcohol) para olvidar por un rato... [fumando]


Tanto monta, monta tanto.

Déjala así o bórralas. Jar-jar ya te ha dicho que al parche no le afecta así como lo has dejado, probado por su departamento de seguridad.

Eso ya es decisión tuya.

Lo de las cervezas, también, cosa tuya. Puedes optar por un Aquarius [qmparto]
Buenas tardes y gracias por tu comentario @JohnH :)

Bueno, al menos he sido capaz de tocar el registro y que el ordenador siga funcionando, así que eso que he aprendido :cool:

Creo que lo mejor será dejarlo tal cual, y que así parezca que he sido capaz de hacer "algo" :p

@JohnH, yo en realidad era más( hace ya más de una década, cómo pasa el tiempo) del fumeque vegetal, pero me dio por poner cervezas que suena más "común". Y ya ves, ahora nada de alcohol, nada de fumeque y hoy toca tofu con pimientos rojos para comer, sin que nadie me haya tenido que convencer de nada [fumando]

Un gusto compartir foro con gente tan dispuesta a ayudar, un cordial saludo y a disfrutar del finde ;)
nizcalo escribió:[..] pero me entró la hipocondria informática y aún sigo preocupado ..

Mira un momento donde señala mi dedo... De ahora en adelante cuando leas ese titpo de notas, tomaras las cosas con calma, te relajaras y no te preocuparas por cosas que no merecen ir mas alla de la charla mientras esperas el cafe
Imagen


Ya lo dijo K, "Hijo, todos los dias el planeta esta en peligro y seguimos estando vivos... novato". Cada cierto tiempo salen las notas de vulnerabilidades, algunas sensacionalistas, otras; como esta, que son mas informativas que otra cosa, y las que traen realmente riesgos por ser mas faciles de que se aprovechen de ellas son continuamente seguidas por los medios dedicados a estos temas, asi como por los involucrados [fabricantes del hardware o desarrolladores del software afectado].
Imagen
Buenas tardes y gracias por tu consejo @TRASTARO, intentaré hacerte caso porque seguro que me vendrá bien para no ahogarme en un vaso de agua :) .

Un cordial saludo.
Para que ya puedan dormir tranquilos

Microsoft su patch tuesday de agosto en el cual vienen correcciones para mas de 41 problemas y que incluye la solucion definitiva para PrintNightmare [CVE-2021-36958/CVE-2021-36936 ]

https://msrc.microsoft.com/update-guide/vulnerability

Imagen
. . @nizcalo .
Buenas tardes y gracias por el aviso @TRASTARO, un cordial saludo :)
Jar-Jar escribió:
TRASTARO escribió:Esa vulnerabilidad hace semanas que se hizo eco de su existencia, y ¿porque no habra tomado relevancia en las noticias?, sera que para que seas victima debes estar en ciertas circunstancias especificas para que pueda explotarse esa vulneracion. Como sea, dentro de las notas salio que la actualizacion y el parche de mugrosoft no resuelven la vulnerabilidad, siendo mejor opcion una solucion creada por terceros; ajenos a microsoft, y a estas fechas mugrosoft sigue sin cubrir realmente esta vulnerabilidad.


Lamento informarte que esa vulnerabilidad fué separada en dos CVE diferentes.

1º CVE-2021-1675 Resuelta en el parche de 8 de Junio de Microsoft.
2º CVE-2021-34257. Resuelta en el parche del dia 6 de Julio correspondiente a cada sistema operativo de Windows.

Cabe destacar que para que funcione tienes que añadir las claves de registro, que indica el user y el parche correspondiente que te indico para estar seguro.

Probado esta mañana en un windows 10 antes del parche, despues de la modificación del registro y después de registro +parche.

Al pasar el POC sin nada el POC indica " INFO -- (IP DEl equipo) is vulnerable over MS-RPRN. Reason: Host attempted to grab DLL from suplied Share".

Después del registro + parche indica " INFO -- (IP DEl equipo) is not vulnerable over MS-RPRN. Reason: RPC call returned acess denied. This is usually an indication the host has been patched "adn" Point & Print is disabled.

Probado con el deparamento de seguridad Corporativa de la empresa para la cual trabajo.



Que es el POC? dices que pasastes el POC?
lolololito escribió:Que es el POC? dices que pasastes el POC?


Proof-of-Concept.

Prueba de Concepto. En este caso, test de vulnerabilidad.

Normalmente se escribe PoC, en vez de POC.

Si yo te digo que hagas esto, esto y esto para obtener un resultado, la prueba de concepto es el proceso, el test en sí y su verificación por otros.
@JohnH disculpa que lo citase mal.

Cuando yo digo que en la empresa hicieron el PoC, es que pasaron el script tras hacer las modificaciones que Microsoft indicaba. El restultado antes del Poc daba vulnerable, el resultado tras las modificaciones de registro daban como no vulnerable, por lo que, no yo, sino el responsable (uno de ellos) de seguridad corporativa, y si él me indica que es un equipo no vulnerable tras las modificaciones, que venga cualquier otro responsable/hacker/experto que me muestre que sigue siendo vulnerable, para lo demás, lo diga microsoft o el Sum Sum Korda, no es vulnerable ya que no hay evidencias.

Puede seguir siendo vulnerable por otro vector de dicha vulnerabilidad (no explotada) , pero por la indicada en el poc, corregida totalmente.

No obstante, en Agosto, dicha vulnerabilidad dijo Microsoft que estaba tapada totalmente. Y no se ha vuelto a decir nada al respecto. Y con todo lo que había de vulnerabilidades.....
Pues seguiran sin poder dormir
Imagen



Reportan que el parche de mugrosoft para PrintNightmare abre un hoyo para tapar otro, y ahora desconfiguro la impresion en red


Para que ya puedan dormir tranquilos

Microsoft su patch tuesday de agosto en el cual vienen correcciones para mas de 41 problemas y que incluye la solucion definitiva para PrintNightmare [CVE-2021-36958/CVE-2021-36936 ]

https://msrc.microsoft.com/update-guide/vulnerability

Imagen



https://www.bleepingcomputer.com/news/s ... k-printing
Imagen
20 respuestas
Archivado
Volver a General