Llegamos a ustedes gracias a:



Reportajes y análisis

Cómo proteger impresoras vulnerables en una red de Windows

[21/09/2020] En la reciente conferencia de Black Hat, Peleg Hadar y Tumar Bar, de SafeBreach Labs, señalaron que el camino hacia el corazón de una red suele ser a través de sus impresoras. En el 2010, una de las vulnerabilidades que utilizó Stuxnet fue la ejecución remota de código en una computadora con el uso compartido de impresoras habilitado. Para llegar a las centrifugadoras de Irán, Stuxnet aprovechó una vulnerabilidad en el servicio Windows Print Spooler para obtener la ejecución de código como NT AUTHORITY\SYSTEM.

El método que usó Stuxnet para propagarse a través de la red aún es posible. De hecho, Hadar y Bar anunciaron que las actualizaciones de seguridad, que Microsoft lanzó en agosto, incluyen una solución para una vulnerabilidad que descubrieron en las impresoras. Se ha publicado una prueba de concepto de sus hallazgos en GitHub junto con las herramientas que utilizaron.

En mayo, Yarden Shafir y Alex Ionescu publicaron un documento técnico llamado PrintDemon: Print Spooler Privilege Escalation, Persistence & Stealth, que mostró las formas interesantes en que se puede utilizar Print Spooler para elevar los privilegios, eludir las reglas de detección y respuesta de puntos finales (EDR, por sus siglas en inglés) y ganar persistencia. Los atacantes suelen buscar formas nuevas e inusuales de atacar los sistemas. El servicio Spooler, implementado en Spoolsv.exe, les resulta atractivo porque se ejecuta con privilegios del SISTEMA y es accesible desde la red. Shafir e Ionescu señalan que los atacantes buscan los siguientes vectores de ataque:

  • Imprimir un archivo en una ubicación privilegiada, esperando que Spooler lo haga
  • Cargar un "controlador de impresora que en realidad es malicioso
  • Soltar archivos de forma remota mediante las APIs de Spooler RPC
  • Inyectar "controladores de impresora maliciosos desde sistemas remotos
  • Abusar de errores de analítica de archivos en los archivos de cola EMF/XPS para obtener la ejecución del código

A partir de Vista, Windows no requiere derechos de administrador para instalar controladores de impresora, si el controlador es un controlador de bandeja de entrada preexistente. No se necesita absolutamente ningún privilegio para instalar un controlador de impresora.

Busque y actualice los errores de la cola de impresión

Shafir e Ionescu recomiendan estar alerta a los errores de la cola de impresión y los sistemas de actualización, lo antes posible, después de validar las actualizaciones en su ambiente. También debe revisar las impresoras y su comportamiento en su red. Busque puertos basados en archivos con Get-PrinterPort en PowerShell o simplemente descargue HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Ports. Trate cualquier puerto que tenga una ruta de archivo en ellos -especialmente si termina en una extensión como .DLL o .EXE- con extremo cuidado.

Revise puertos en PowerShell.
Impresoras, seguridad

Mantenga actualizados los controladores de la impresora

Revise el estado de la impresora en su oficina con regularidad. Las impresoras suelen abrir vulnerabilidades expuestas en su red, las cuales pueden ser utilizadas por los atacantes. Los controladores de impresora más antiguos suelen ser vulnerables. y los atacantes pueden usarlos para inyectar shells web o software que introducen vulnerabilidades en un sistema. En la conferencia DEF CON del año pasado, los investigadores de NCC Group, Mario Rivas y Daniel Romero, documentaron problemas tan leves como vulnerabilidades de denegación de servicio, y tan serios como desbordamientos de búfer, que podrían llevar a la ejecución remota de código. Como resultado de su investigación, estos proveedores publicaron avisos técnicos:

Si no recuerda cuándo fue la última vez que revisó el controlador del servidor de impresión instalado en su red, es hora de revisar qué número de versión está instalado y actualizarlo si es necesario.

Aquí hay otra razón para mantener los controladores actualizados: Hewlett Packard creó el Lenguaje de Comandos de Impresora (PCL, por sus siglas en inglés) para sus impresoras de inyección de tinta en la década de los años ochenta. El PCL 5 es la última versión basada en el código tradicional, que el controlador de la computadora envía a la impresora para darle las instrucciones sobre cómo imprimir la página. El PCL 6, también conocido como PCL-XL, es un controlador más potente y funciona de manera completamente diferente.

El controlador PCL 5 quedó estropeado con la actualización de Windows de junio. Estos controladores de impresora más antiguos han sido históricamente más propensos a problemas con la actualización de Windows. El estilo más nuevo del controlador PCL 6 o Microsoft V4, es menos propenso a la interacción de actualización. Para mí, las actualizaciones y la seguridad están interconectadas. Tuve que actualizar todos mis controladores de estilo PCL 5 a PCL 6 para poder imprimir después de las actualizaciones de junio.

Escanee en busca de vulnerabilidades de impresión conectadas a Internet

Las impresoras diseñadas para el consumidor, que muchos empleados trabajando desde casa usan con sus sistemas proporcionados por la empresa, permiten la impresión inalámbrica y la impresión a través de la web o el correo electrónico. Durante el proceso de instalación, se le solicita al usuario que responda a una serie de preguntas que exponen a la impresora a varios posibles ataques externos. Herramientas de búsqueda como Shodan le permiten a usted -y a los atacantes- buscar en Internet dispositivos abiertos y posiblemente inseguros, incluidas impresoras abiertas y vulnerables que podrían ser objeto de abuso de forma remota.

Si configura un dispositivo en Internet abierto, Hewlett Packard recomienda la siguiente guía al configurarlo:

Opciones de red:

  • Habilite TCP/IP.
  • Habilite la impresión de IPP.
  • Desactive la impresión 9100.
  • Deshabilite la configuración de SLP.
  • Desactive la impresión LPD.
  • Desactive la configuración de telnet.
  • Desactive la impresión FTP.
  • Deshabilite WS-Discovery.
  • Deshabilite la impresión de servicios web (a menos que esté actualmente en uso).
  • Deshabilite el archivo de configuración TFTP.
  • Agregue direcciones IPv4 permitidas para Exchange Web Services (EWS) e imprima en la Lista de Control de Acceso. Advertencia: si la impresora está en Internet abierto y no está configurada para limitar el acceso a direcciones IP conocidas, está abierta al acceso público y al posible abuso.
  • Establezca el nivel de cifrado en "Alto.
  • Habilite la configuración HTTPS para cifrar todas las comunicaciones web: "Cifrar todas las comunicaciones web (sin incluir IPP).
  • Desactive la configuración de mDNS. Si no tiene DNS en su red, déjelo habilitado.
  • Configure un nombre de comunidad SNMP y desactive el nombre de comunidad predeterminado de "Público.
  • Desactive los stacks de protocolos no utilizados. HP recomienda lo siguiente (a menos que esté actualmente en uso): Deshabilite IPX/SPX; Desactive DLC/LLC; Desactive AppleTalk/Bonjour.

Opciones de seguridad:

  • Configure la contraseña de administrador (administrador local o contraseña de administrador de EWS).
  • Establezca la contraseña de seguridad de PJL.
  • Deshabilite los comandos de acceso al dispositivo PJL.
  • Desactive la configuración de acceso a la página del sistema de archivos (externo): Desactive el acceso a la unidad PJL o el acceso al disco PJL; Desactive el acceso a la unidad PS o el acceso al disco PS.
  • Configure las opciones de la página del sistema de archivos: Desactive PML; deshabilite el acceso NFS; deshabilite Postscript.
  • Desactive "Permitir trabajos almacenados en este dispositivo.
  • Desactive las actualizaciones de firmware de la impresora remota. Advertencia: esta configuración deberá volver a habilitarse cada vez que sea necesario actualizar el firmware de la impresora de forma remota: Desactive "Permitir que las actualizaciones de firmware se envíen como trabajos de impresión (puerto 9100); deshabilite "Permitir la instalación de paquetes previos firmados con el algoritmo de hash SHA-1; desactive la "Actualización remota de firmware.
  • Desactive el acceso al disco SNMP o el acceso SNMP.
  • Configure el modo de cifrado de disco seguro (AES128 o AES256).
  • Opciones del servidor web incorporado:
  • Habilite correo saliente.
  • Habilite el botón de continuar.
  • Desactive el servicio de impresión.
  • Desactive el correo entrante.
  • Deshabilite la invocación del comando.
  • Deshabilite la descarga de comandos.
  • Deshabilite la carga y ejecución de comandos.
  • Asegure la pestaña "Información (si está disponible) o desactive las siguientes configuraciones: "Botón Cancelar trabajo; "Botón Ir/Pausa/Reanudar.

Opciones de servicios web:

  • Desactive los servicios web.
  • Deshabilite los servicios de proxy.

Opciones inalámbricas

  • Configure la seguridad inalámbrica (si usa conectividad inalámbrica).

Las impresoras son un eslabón débil y una vía de entrada a muchas redes. En consecuencia, tómese el tiempo para revisar su postura de seguridad.