Home / Node / Boletín de INCIBE-CERT del 07-07-2021

Boletín de INCIBE-CERT del 07-07-2021

Actualización de seguridad de Joomla! 3.9.28

Publication date: 
07/07/2021
Importance: 
4 - Alta
Affected resources: 

Joomla! CMS, versiones:

  • desde la 3.0.0, hasta la 3.9.27;
  • desde la 2.5.0, hasta la 3.9.27.
Description: 

Joomla! ha publicado una nueva versión que soluciona 5 vulnerabilidades que afectan a su núcleo, de los tipos validación inadecuada de campos, falta de validación de los datos de entrada, cierre de sesión inadecuado tras un cambio de contraseña y ausencia de comprobaciones ACL.

Solution: 

Actualizar a la versión 3.9.28.

Detail: 
  • La validación inadecuada en el campo Rules de la API de JForm conduce a una vulnerabilidad XSS. Se ha asignado el identificador CVE-2021-26035 para esta vulnerabilidad.
  • La falta de validación de los datos de entrada podría perjudicar la tabla de grupos de usuarios. Se ha asignado el identificador CVE-2021-26036 para esta vulnerabilidad.
  • Varias funciones del CMS no terminaban correctamente las sesiones de usuario existentes cuando se cambiaba la contraseña de un usuario o se le bloqueaba. Se ha asignado el identificador CVE-2021-26037 para esta vulnerabilidad.
  • La acción de instalación en com_installer carece de las comprobaciones ACL necesarias para los superusuarios, lo que podría conducir a varios vectores de ataque. Un sistema por defecto no se ve afectado porque com_installer está limitado a los superusuarios.Se ha asignado el identificador CVE-2021-26038 para esta vulnerabilidad.
  • La validación inadecuada en la vista imagelist de com_media conduce a una vulnerabilidad XSS. Se ha asignado el identificador CVE-2021-26039 para esta vulnerabilidad.

Encuesta valoración

[Actualización 07/07/2021] Vulnerabilidad 0day de RCE en el servicio Print Spooler de Microsoft Windows

Publication date: 
07/01/2021
Importance: 
5 - Crítica
Affected resources: 
  • Windows Server 2016;
  • Windows Server 2019;
  • Windows Server 2012 (incluyendo R2);
  • Windows Server 2008 (incluyendo R2, R2 SP1 y R2 SP2);
  • Windows 7, 8.1 y 10 (incluyendo versión 1909);
  • Windows Server, versión 2004;
  • Windows Server, versión 20H2.
Description: 

Un equipo de investigadores de Sangfor ha notificado una vulnerabilidad 0day crítica denominada PrintNightmare, de tipo ejecución remota de código (RCE), que afecta al servicio Print Spooler de Microsoft Windows.

Previamente, los investigadores, Zhipeng Huo (Tencent), Piotr Madej (AFINE) y Zhang Yunhai (NSFOCUS TIANJI LAB) habían notificado una vulnerabilidad de escalada local de privilegios (LPE), que también afectaba al servicio Print Spooler de Microsoft Windows, y a la que se asignó el identificador CVE-2021-1675.

Solution: 

Deshabilitar el servicio Print Spooler de Microsoft Windows, específicamente en sistemas de controladores de dominio (DC) y directorio activo (AD), para lo que se recomienda utilizar un Group Policy Object.

[Actualización 02/07/2021] Se ha proporcionado un nuevo workaround, que consiste en restringir las listas de control de accesos (ACLs), para hacer que el exploit no sea efectivo, mientras que se permite mantener sus servidores de impresión en funcionamiento, hasta que un parche esté disponible. IMPORTANTE: se debería comprobar su efectividad en entornos de prueba/desarrollo antes de aplicarlo en entornos de producción.

[Actualización 07/07/2021] Microsoft ha publicado una actualización fuera de ciclo para solucionar esta vulnerabilidad.

Detail: 

Se han publicado los detalles técnicos y la PoC de una vulnerabilidad 0day, nombrada PrintNightmare, en el servicio Print Spooler de Microsoft Windows, que podría permitir a un atacante realizar una ejecución remota de código (RCE), pudiendo tomar el control de un servidor de dominio de Windows para desplegar el malware en la red de una empresa.

En las actualizaciones de seguridad de Microsoft de junio de 2021 se corrigió la vulnerabilidad CVE-2021-1675, que inicialmente se clasificó con severidad alta y de tipo escalada de privilegios, pero investigaciones posteriores han determinado que el servicio Print Spooler no restringe correctamente el acceso a la función RpcAddPrinterDriverEx(), lo que posibilita a un atacante remoto ejecutar código arbitrario con privilegios de SYSTEM.

Por lo tanto, PrintNightmare es una nueva vulnerabilidad 0day, aún por solucionar, que afecta a Print Spooler y que lo único que tiene en común con CVE-2021-1675 es que el servicio afectado es el mismo en ambas.

[Actualización 02/07/2021] Se ha asignado el identificador CVE-2021-34527 para la vulnerabilidad PrintNightmare.

Encuesta valoración