LOS HACKERS RUSOS EXPLOTAN LOS PROTOCOLOS MFA Y LA VULNERABILIDAD “PRINTNIGHTMARE” DEL GESTOR DE COLAS DE IMPRESIÓN

By John Gates, on March 21st, 2022

La Oficina Federal de Investigaciones (FBI) y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) de los Estados Unidos emitieron recientemente un Aviso de Ciberseguridad (CSA) advirtiendo a las organizaciones sobre un ciberataque patrocinado por el estado ruso. Los ciber actores ejecutaron código arbitrario usando privilegios del sistema al explotar una vulnerabilidad “PrintNightmare” de Windows Print Spooler.

 

VULNERABILIDAD DE PRINTNIGHTMARE

El Print Spooler de Microsoft (CVE-2021-34527) es el servicio que permite administrar y monitorear la impresión de archivos y ha tenido pocas actualizaciones de mantenimiento desde su lanzamiento. Una vez que un atacante obtiene acceso limitado de usuario a una red, el actor cibernético podrá conectarse (directa o remotamente) al Print Spooler. En julio de 2021, Microsoft publicó qué explotación de vulnerabilidades es posible y proporcionó la puntuación base para evaluar el componente vulnerable.

 

ACTIVIDAD DE LOS CIBER ACTORES

Los ciber actores patrocinados por el estado ruso obtuvieron acceso inicial a la organización víctima mediante la explotación de los protocolos MFA predeterminados y una vulnerabilidad conocida, al inscribir un nuevo dispositivo en el Duo MFA de la organización. El uso de un ataque de fuerza bruta para la contraseña permitió a los actores cibernéticos obtener acceso a la cuenta de la víctima usándola para acceder al sistema operativo y habilitar cuentas de correo electrónico y en la nube para la filtración de datos.

 

CÓMO MITIGAR LA VULNERABILIDAD “PRINTNIGHTMARE” DE PRINT SOOLER

Lo mejor que puede hacer para mitigar esta vulnerabilidad es deshabilitar Print Spooler en cada servidor y/o estación de trabajo sensible. Las agencias del FBI y CISA están instando a todas las organizaciones a aplicar las mitigaciones recomendadas:

  • Aplique MFA y revise las políticas de configuración para protegerse contra escenarios de “apertura fallida” y reinscripción.
  • Asegúrese de que las cuentas inactivas estén deshabilitadas de manera uniforme en los sistemas Active Directory y MFA.
  • Parchar todos los sistemas. Priorizar la aplicación de parches para vulnerabilidades conocidas que han sido explotadas.

 

AUTOMATIZACIÓN DE HARDENING PARA PRINT SOOLER

En los últimos años, se introdujeron vulnerabilidades en el Print Spooler y parece que PrintNightmare llegó para quedarse y puede que no sea el último ataque usándolo. Por lo tanto, es altamente recomendable no solo parchar sus sistemas, sino también hacer el esfuerzo y deshabilitar Print Spooler en todos sus sistemas. Deshabilitar el spooler reducirá significativamente la superficie de ataque y mejorará la higiene cibernética de su infraestructura. El hardening requiere largas horas de trabajo intensivo que no siempre garantizarán su protección. Es una tarea propensa a errores que a veces puede llevar a romper el entorno de producción de la organización. CalCom ofrece un enfoque automatizado para el hardening. Nuestra solución garantizará que su infraestructura esté reforzada de acuerdo con su política deseada, eliminando el riesgo de interrupciones de producción y desviaciones de la configuración segura.