Vectra Networks descubre una vulnerabilidad crítica en Microsoft Windows que permite que los ataques de tipo «watering hole» a impresoras propaguen Malware

Vectra® Networks, líder en gestión automatizada de amenazas, ha anunciado hoy que los investigadores de Vectra Threat Labs™ han descubierto una vulnerabilidad crítica en Microsoft Windows que permite a los atacantes obtener control a nivel del sistema sobre los ordenadores a través de controladores de impresora infectados o falsos.

La vulnerabilidad proviene de un proceso de Windows que permite a los usuarios buscar, añadir y utilizar rápidamente impresoras en casa, en la oficina y a través de Internet. Armado con controles a nivel del sistema, el malware propagarse lateralmente desde un equipo a toda la red.

«Esta vulnerabilidad concreta permite a un atacante aprovechar la facilidad con la que los equipos Windows se conectan a impresoras en redes», afirma Günter Ollmann, director de seguridad de Vectra Networks. «Aunque la mayoría de los dispositivos requieren un permiso específico del usuario o del administrador antes de descargar software en un equipo, los controladores de impresora pueden eludir estas restricciones».

«Esto convierte a las impresoras en uno de los vectores de amenaza más potentes de una red», continuó Ollmann. «En lugar de infectar a los usuarios individualmente, un atacante puede convertir eficazmente una impresora en un punto de infección que infectará todos los dispositivos Windows que entren en contacto con ella».

Cómo funciona

Dado que las impresoras no siempre son prioritarias a la hora de aplicar parches y actualizaciones rutinarias, a menudo quedan expuestas a vulnerabilidades que permiten a un atacante sustituir fácilmente un controlador de impresora legítimo por otro que contiene una carga maliciosa.

Una vez instalado, el archivo malicioso se ejecuta con permisos a nivel del sistema, lo que efectivamente le da al atacante control total de la máquina. Este proceso podría repetirse indefinidamente, infectando a cada nuevo usuario que se conecte a esa impresora.

«Además, este ataque ni siquiera requiere una impresora física para llevarse a cabo», afirma Ollmann. «Un atacante podría configurar una impresora falsa en la red y enviar la carga maliciosa a cualquier usuario desprevenido que se conecte a ella».

Un atacante también puede distribuir un controlador de impresora malicioso a través de Internet sin necesidad de acceder a la red local. Al aprovechar el Protocolo de impresión por Internet (IPP) o el Protocolo Web Point-and-Print de Microsoft (MS-WPRN), un atacante podría distribuir el controlador malicioso a través de Internet mediante vectores web normales, como sitios web comprometidos o anuncios publicitarios.

«Esta investigación pone de relieve las numerosas posibilidades que los dispositivos IoT, como las impresoras, ofrecen a los atacantes», afirma Ollmann. «Estos dispositivos rara vez se someten a evaluaciones para detectar fallos de seguridad, puertas traseras o amenazas de tipo watering hole, y representan un punto ciego cada vez mayor tanto para las redes corporativas como para las domésticas. Se insta a los usuarios de Microsoft Windows a aplicar este parche crítico de inmediato, ya que es probable que los atacantes aprovechen esta vulnerabilidad en breve».

Vectra reveló esta vulnerabilidad a Microsoft en abril de 2016. Microsoft ha catalogado esta vulnerabilidad como crítica MS16-087 (CVE-2016-3238) y ha publicado hoy un parche. Se recomienda a las organizaciones que actualicen sus sistemas Windows inmediatamente.

Acerca de Vectra Threat Labs

Como división de investigación de amenazas de Vectra Networks, Vectra Threat Labs opera en la intersección precisa entre la investigación en seguridad y la ciencia de datos. Los investigadores analizan los fenómenos inexplicables que se observan en las redes de los clientes y profundizan en ellos para encontrar las razones subyacentes del comportamiento observado.

Los informes y blogs de Vectra Threat Labs se centran en los objetivos del atacante, los sitúan en el contexto de la campaña más amplia que está llevando a cabo y proporcionan información sobre formas duraderas de detectar y mitigar las amenazas.

Centrarse en el objetivo subyacente de un atacante y pensar en los posibles métodos para lograrlo puede conducir a métodos de detección que son sorprendentemente eficaces durante largos periodos de tiempo. Para informar sobre vulnerabilidades de nuestra plataforma, envíenos un correo electrónico a security@vectranetworks.com.

Acerca de Vectra Networks

Vectra® Networks es líder en soluciones automatizadas de gestión de amenazas para la detección en tiempo real de ciberataques en curso. La solución de la empresa correlaciona automáticamente las amenazas contra los hosts que están siendo atacados y proporciona un contexto único sobre lo que están haciendo los atacantes, de modo que las organizaciones puedan prevenir o mitigar rápidamente las pérdidas. Vectra prioriza los ataques que suponen un mayor riesgo para el negocio, lo que permite a las organizaciones tomar decisiones rápidas sobre dónde centrar su tiempo y sus recursos. En 2015, Gartner nombró a Vectra «Cool Vendor» en inteligencia de seguridad por abordar los retos de la detección de amenazas tras una brecha de seguridad. Los American Business Awards también seleccionaron a Vectra como ganadora del premio de oro a la mejor startup tecnológica de 2015. Entre los inversores de Vectra se encuentran Khosla Ventures, Accel Partners, IA Ventures, AME Cloud y DAG Ventures. La sede de la empresa se encuentra en San José, California, y tiene su sede regional europea en Zúrich, Suiza. Para más información, visite www.vectranetworks.com.

###

Vectra y el logotipo de Vectra Networks son marcas comerciales registradas, y Security that thinks, Vectra Threat Labs y Threat Certainty Index son marcas comerciales de Vectra Networks. Otros nombres de marcas, productos y servicios son marcas comerciales, marcas comerciales registradas o marcas de servicio de sus respectivos propietarios.