Connect with us

Ciencia y tecnología

Nueva cola de impresión de día cero de Windows que se puede utilizar a través de servidores de impresión remotos

Published

on

Otra vulnerabilidad de día cero en Windows Print Spooler puede otorgar a un atacante privilegios administrativos en una máquina con Windows a través de un servidor remoto bajo el control del atacante y la función “Poner archivos específicos en cola”.

El mes pasado, un investigador de seguridad reveló accidentalmente una vulnerabilidad de cola de impresión de día cero de Windows conocida como Imprimir Pesadilla que Microsoft sigue como CVE-2021-34527.

La explotación de esta vulnerabilidad permite a un actor malintencionado aumentar sus privilegios en una máquina o ejecutar código de forma remota.

Microsoft publicó una actualización de seguridad para corregir la vulnerabilidad, pero los investigadores determinaron que la solución podría eludirse bajo ciertas condiciones.

Dado que el parche estaba incompleto, los investigadores de seguridad han examinado de cerca las API de impresión de Windows y encontró otras vulnerabilidades afectando a la cola de impresión de Windows.

Servidor de impresión remoto utilizado en el ataque

Investigador de seguridad y creador de Mimikatz Benjamín Delpy reveló públicamente una nueva vulnerabilidad de día cero que permite a un atacante obtener fácilmente privilegios de SISTEMA en una máquina con Windows a través de un servidor de impresión remoto bajo su control.

En una conversación con BleepingComputer, Delpy dijo que su hazaña usa el ‘Cola de archivos específicos‘Funcionalidad de Windows Capacidad para señalar e imprimir para descargar y ejecutar automáticamente una DLL maliciosa cuando un cliente se conecta a un servidor de impresión bajo el control de un atacante.

READ  Google interrumpe los mensajes de texto en muchos teléfonos Android y revierte los cambios ahora

“Al instalar la impresora, una aplicación de instalación suministrada por el proveedor puede especificar un conjunto de archivos, de cualquier tipo, para asociarlos con una cola de impresión en particular”, explica la documentación de Microsoft en el ‘Cola de archivos específicosfuncionalidad.

“Los archivos se descargan a cada cliente que se conecta al servidor de impresión”.

Para aprovechar la vulnerabilidad, el investigador creó un servidor de impresión accesible por Internet con dos impresoras compartidas que utilizan la funcionalidad de archivos específicos de la cola.

Configuración del registro de archivos específico de la cola
Configuración del registro de archivos específico de la cola
Fuente: Delpy

Al ejecutar la DLL maliciosa, se ejecutará con privilegios de SISTEMA y se puede utilizar para ejecutar cualquier comando en la computadora.

Will Dormann, un analista de vulnerabilidades de CERT / CC, ha publicado un aviso para esta vulnerabilidad que proporciona información adicional.

“Si bien Windows requiere que los paquetes de controladores estén firmados por una fuente confiable, los controladores de impresora de Windows pueden especificar poner en cola archivos específicos relacionados con el uso del dispositivo. Por ejemplo, una impresora compartida puede especificar una CopyFiles directiva para archivos ICM arbitrarios “, el nuevo CERT consultivo Explicar.

“Estos archivos, que se copian con los archivos del controlador de impresora firmados digitalmente, se no cubierto por cualquier requisito de firma. Es decir, cualquier archivo se puede copiar a un sistema cliente mediante la instalación del controlador de impresora Point and Print, donde puede ser utilizado por otra impresora con SYSTEM privilegios “.

“Esto permite el LPE en un sistema vulnerable”.

Lo que hace que esta vulnerabilidad sea tan peligrosa es que afecta a todas las versiones actuales de Windows y permite que un actor malintencionado obtenga acceso limitado a una red y obtenga instantáneamente privilegios de SISTEMA en el dispositivo vulnerable.

READ  Google Chrome vs.Samsung Internet: ¿Deberíamos cambiar?

Con este acceso, los actores malintencionados pueden propagarse lateralmente a través de la red hasta obtener acceso a un controlador de dominio.

Se ha compartido un video que demuestra este ataque con BleepingComputer y se publica a continuación.

Delpy tiene creó un servidor de impresión remoto accesible al público que se puede utilizar para probar la vulnerabilidad demostrada anteriormente.

Mitigar la vulnerabilidad de la nueva impresora

La buena noticia es que Delpy y Dormann han compartido dos métodos que pueden usarse para mitigar esta nueva vulnerabilidad de “archivos específicos de cola”.

Estos dos métodos se describen en el aviso del CERT.

Opción 1: bloquee el tráfico SMB saliente en el borde de su red

Debido a que el exploit público de Delpy utiliza un servidor de impresión remoto, puede bloquear el tráfico SMB saliente para evitar el acceso a la computadora remota.

Sin embargo, Dormann afirma que MS-WPRN también se puede usar para instalar controladores sin usar SMB, y los actores malintencionados aún podrían usar esta técnica con un servidor de impresión local.

Por lo tanto, esta mitigación no es un método infalible para bloquear el exploit.

Opción 2: configurar PackagePointAndPrintServerList

Una mejor manera de prevenir esta vulnerabilidad es restringir Point and Print a una lista de servidores confiables usando la política de grupo “Point and Print Packets – Trusted Servers”.

Punto de paquete e impresión: política de grupo de servidores aprobados
Punto de paquete e impresión: política de grupo de servidores aprobados

Esta política evita que los usuarios no administrativos instalen controladores de impresión utilizando Point and Print a menos que el servidor de impresión esté en la lista de aprobados.

El uso de esta Política de grupo proporcionará la mejor protección contra el exploit conocido.

READ  Google Messages implementa el diseño de interfaz de usuario para Galaxy S21

BleepingComputer se ha puesto en contacto con Microsoft con respecto al problema, pero no ha recibido una respuesta.

Soy un profesional de gestión deportiva con conocimientos adecuados sobre la industria del deporte en España. Tengo varias habilidades que me han ayudado a trabajar en diferentes sectores del deporte en España, incluyendo eventos deportivos, desarrollo de base para el deporte e infraestructura deportiva.

Continue Reading
Click to comment

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Ciencia y tecnología

Android System Intelligence es un servicio de personalización de dispositivos

Published

on

“Servicios de personalización de dispositivos” es el método mediante el cual Google proporciona y actualiza funciones como Reproducción en curso (en Pixel), Subtítulos en vivo y Acciones inteligentes en notificaciones a dispositivos Android. Esta aplicación actualizada a través de Play Store ahora se llama “Inteligencia del sistema Android”, al menos en los teléfonos Google Pixel.

Las funciones que ofrece DPS difieren de un dispositivo a otro con la experiencia más completa que se encuentra en Pixel. En los teléfonos de Google, tiene la opción de ver los subtítulos de todos los medios que se están reproduciendo actualmente, porque extendido Para otro OEM, pantalla alimentada por cámara Atención para asegurarse de que la pantalla no se duerma mientras la está viendo y en reproducción.

Este último escucha las canciones que se reproducen en segundo plano y las identifica rápidamente en la pantalla de bloqueo o en la parte inferior del tono de notificación. También puede colocarlo en la pantalla de inicio con un widget accesible mediante la pulsación larga habitual.

Es posible que haya notado recientemente que el widget “Historial de reproducción en curso” se encuentra ahora en la parte superior de esta lista porque ya no aparece en Servicios de personalización de dispositivos. Por el contrario, Google decidió cambiarle el nombre a “Inteligencia del sistema Android” con la versión R.22.playstore.pixel3.386404629 de la aplicación. Esta actualización es aún no ampliamente desplegado y solo lo hemos encontrado hasta ahora en un Pixel 3 con Android 11. Los dispositivos de terceros que tienen Live Caption disponible probablemente también verán el nuevo nombre.

También se le cambia el nombre en la página “Información de la aplicación”, pero los “Servicios de personalización del dispositivo” todavía se encuentran en Configuración> Privacidad, donde puedes borrar datos locales su dispositivo ha aprendido. A partir de ahí, también puede determinar si desea ver las “sugerencias de texto inteligente en la tira de sugerencias del teclado, incluida la respuesta inteligente y pegar”.

READ  Google Chrome vs.Samsung Internet: ¿Deberíamos cambiar?

Otras características impulsadas por Android System Intelligence, que comparten los mismos íconos que DPS, son copiar / pegar mejorado y selección de texto inteligente. Cuando los usuarios resaltan un número de teléfono, obtienen un acceso directo para abrir la aplicación Teléfono y marcar o iniciar Google Maps con direcciones.

Google anteriormente renombró Pixel’s Aplicación “Connectivity Health” a “Adaptive Connectivity Services”. En general, Android System Intelligence es un nombre mejor y más descriptivo que DPS, especialmente cuando se busca Now Playing.

Más información sobre Android:

FTC: utilizamos enlaces de afiliados automáticos que generan ingresos. Siguiente.


Consulte 9to5Google en YouTube para obtener más información:

Continue Reading

Ciencia y tecnología

Con la ayuda de Google, el sitio web imit Brave.com impulsa el malware

Published

on

Se ha sorprendido a los delincuentes utilizando un truco inteligente para hacerse pasar por el sitio web del navegador Brave y usarlo en los anuncios de Google para difundir malware que se apodera de los navegadores y roba los datos confidenciales de los sitios web.

El ataque funcionó registrando el dominio xn – brav-yva[.]com, una cadena codificada que usa lo que se llama punycode para representar valiente[.]com, un nombre que cuando se muestra en las barras de direcciones de los navegadores se parece a brave.com, donde la gente descarga el navegador Brave. Valiente[.]com (tenga en cuenta el énfasis en la letra E) era casi una réplica perfecta de brave.com con una excepción: el botón “Descargar Brave” recuperó un archivo que instalaba malware llamado ArechClient y SectopRat.

De Google al malware en 10 segundos planos

Para dirigir el tráfico al sitio falso, los estafadores compraron anuncios en Google que se mostraban cuando las personas buscaban material relacionado con navegadores. Los anuncios parecían bastante benignos. Como muestran las imágenes a continuación, el dominio mostrado para un anuncio era mckelveytees.com, un sitio que vende ropa para profesionales.

Pero cuando las personas hicieron clic en uno de los anuncios, los llevaron a varias áreas intermedias hasta que terminaron aterrizando en bravė[.]com. Jonathan Sampson, un desarrollador web que trabaja en Brave, dijo que el archivo disponible para descargar era una imagen ISO de 303 MB de tamaño y que en su interior había un único ejecutable.

VirusTotal mostró inmediatamente un puñado de motores antimalware que detectan ISO y EXE. En el momento de la publicación de este artículo, el Imagen ISO tuvo ocho detecciones y el exe tenía 16 años.

El malware detectado tiene varios nombres, incluidos ArechClient y SectopRat. A Análisis 2019 de la société de sécurité G Data a découvert qu’il s’agissait d’un cheval de Troie d’accès à distance capable de diffuser le bureau actuel d’un utilisateur ou de créer un deuxième bureau invisible que les attaquants pourraient utiliser pour naviguer En Internet.

En un análisis de seguimiento Lanzado en febrero, G Data dijo que el malware se había actualizado para agregar nuevas características y capacidades, incluidas las comunicaciones cifradas con servidores de comando y control controlados por los atacantes. A análisis separado descubrió que tenía “capacidades como iniciar sesión en el servidor C2, crear perfiles del sistema, robar el historial del navegador de navegadores como Chrome y Firefox”.

Como muestra esta búsqueda de DNS pasiva de DNSDB Scout, la dirección IP que albergaba el sitio falso de Brave albergaba otros dominios de código puny sospechosos, incluidos xn--ldgr-xvaj.com, xn--sgnal-m3a.com, xn- – teleram-ncb .com y xn--brav-8va.com. Estos se traducen respectivamente a lędgėr.com, sīgnal.com teleģram.com y bravę.com. Todos los dominios se han registrado a través de NameCheap.

Un viejo ataque que todavía está en su apogeo

Martijn Grooten, jefe de investigación de inteligencia de amenazas de la firma de seguridad Silent Push, se preguntó si el atacante detrás de esta estafa alojaba otros sitios similares en otras direcciones IP. Usando un producto Silent Push, buscó otros dominios de Punycode registrados a través de NameCheap y usando el mismo host. Afectó a otros siete sitios igualmente sospechosos.

la resultados, incluido el código puny y el dominio traducido, son:

  • xn – screncast-ehb.com – screēncast.com
  • xn – flghtsimulator-mdc.com – flīghtsimulator.com.
  • xn – brav-eva.com – bravē.com
  • xn – xodus-hza.com – ēxodus.com
  • xn – tradingvew-8sb.com – tradingvīew.com
  • xn--torbrwser-zxb.com—torbrwser.com
  • xn – tlegram-w7a.com – tēlegram.com

Google eliminó los anuncios maliciosos después de que Brave los llamó la atención de la empresa. NameCheap eliminó los dominios maliciosos después de recibir una notificación.

Una de las cosas tan malas de estos ataques es lo difíciles que son de detectar. Dado que el atacante tiene control total sobre el dominio de punycode, el sitio del impostor tendrá un certificado TLS válido. Cuando este dominio aloja una réplica exacta del sitio web falsificado, incluso las personas preocupadas por la seguridad pueden ser engañadas.

Desafortunadamente, no existe una forma clara de evitar estas amenazas, excepto tomando unos segundos adicionales para inspeccionar la URL tal como aparece en la barra de direcciones. Los ataques que utilizan dominios basados ​​en punycode no son nuevos. El robo de identidad de Brave.com esta semana sugiere que no pasarán de moda en el corto plazo.

READ  Los juegos de Bethesda llegarán a PC, Xbox, Xbox Game Pass y xCloud
Continue Reading

Ciencia y tecnología

Un nuevo estudio sugiere que la prueba de enjuague bucal es tan precisa como el examen nasal para detectar Covid

Published

on

¿Hisopos al final de la nariz? Un nuevo estudio sugiere que la prueba de enjuague bucal es tan precisa como el examen nasal para detectar Covid

  • Científicos de la Universidad Alemana han descubierto que la prueba de enjuague bucal es tan confiable como un hisopo nasal
  • Utiliza PCR para detectar Covid y ofrece resultados sensibles en tiempo real, dicen los expertos.
  • La prueba no tiene que ser realizada por médicos y puede ser autoadministrada.

Las personas pronto podrán usar enjuague bucal para probar si tienen Covid en lugar de los invasivos hisopos nasales y de garganta.

Los científicos han descubierto que una prueba de enjuague bucal para “hacer gárgaras” es tan precisa como los hisopos nasofaríngeos que se utilizan actualmente para detectar si una persona tiene Covid y que también es un proceso mucho más simple.

La prueba implica que el paciente haga gárgaras con una solución como lo haría con un enjuague bucal y luego la escupir en una taza donde se puede analizar.

El estudio, realizado por la Universidad de Konstanz, Alemania, involucró a 80 participantes, 26 de los cuales dieron positivo para Covid cuando se analizaron con un hisopo.

Lavado de gárgaras: ¿Cómo funciona la prueba de enjuague bucal Covid?

Las pruebas de enjuague bucal, también conocidas como lavado de gárgaras, implican rociar una solución alrededor de la boca antes de enviarla como muestra.

Los pacientes deben verter la solución en la boca, esparcirla por la boca y luego hacer gárgaras con la solución.

Este patrón debe repetirse tres veces antes de escupir la solución en un tubo de muestra para su análisis.

Todo el proceso de muestreo no debería durar más de 30 segundos.

Los investigadores encontraron que los mismos 26 participantes dieron positivo cuando se probaron con el enjuague bucal.

Los científicos creen que el enjuague bucal, que utiliza una reacción en cadena de la polimerasa (PCR) para detectar el virus, proporciona resultados en tiempo real y puede ser administrado por cualquier persona.

El autor correspondiente y profesor de biología celular Christof R. Hauck, PhD, dijo: “Nuestros resultados muestran que en todos los casos en los que las personas dieron positivo con el hisopo nasal de referencia, el virus también podría detectarse durante un lavado de gárgaras con el mismo RT. – Método de PCR.

El Dr. Huack dijo que la prueba la puede realizar cualquier persona, incluidos los profesionales no médicos, a diferencia de las pruebas de hisopado nasofaríngeo.

Añadió: “Por lo general, enviamos a los pacientes con la solución para hacer gárgaras y el recipiente de la muestra afuera.

“Allí, hicieron gárgaras frente a una ventana, vigilados por un miembro del personal médico. Por lo tanto, no necesitamos exponer al personal capacitado al peligro de tomar muestras de tantas personas potencialmente infectadas.

El estudio involucró evaluar a pacientes con síntomas respiratorios conocidos o pacientes que habían entrado en contacto con personas que ya estaban infectadas con el virus.

Cada paciente se sometió primero a una prueba de hisopo y luego a una autoevaluación con el lavado de gárgaras.

El Dr. Huack agregó: “Además de realizar diagnósticos en pacientes sintomáticos, participamos en la vigilancia regular del SARS-CoV-2 en nuestro campus universitario, donde hacemos pruebas a las personas dos veces por semana.

“Como el hisopo nasal no es muy agradable, buscábamos una alternativa y el lavado de gárgaras resultó ser muy bien aceptado.

“El hecho de que las dos pruebas arrojaron exactamente los mismos resultados lleva al equipo de investigación a concluir que la autocolección indolora del lavado de gárgaras proporciona una fuente adecuada y sencilla para la detección confiable del SARS-CoV-2”.

Los resultados se publicarán en la revista Microbiology Spectrum.

Publicidad

Continue Reading

Trending