¿MS16-087 implica que una computadora con Windows 7 es vulnerable a Internet?

Navega tus respuestas
3

Acabo de leer el MS16-087 y los artículos de Vectra (que aparentemente descubrió la vulnerabilidad). Según tengo entendido, MS Point and Print ofreció una entrega de controladores de impresión desde una impresora o servidor de impresión sin consulta de UAC al usuario.

Me preocupa que un colega use una computadora con Windows 7 Professional sin el parche, pero no quiero actualizar ese sistema a menos que sea absolutamente necesario, ya que está ejecutando una aplicación de negocios crítica que no quiero que los shenanigans de Microsoft desestabilicen por ejemplo, Win 10 forzado actualizaciones).

Es una única estación de trabajo con impresora directamente conectada (cable USB). Ellos usan Internet solo para negocios, por ejemplo, correo electrónico, sitios web relacionados con negocios.

Se están ejecutando Kaspersky AV y firewall.

Si les advierto que sean especialmente cautelosos al no visitar sitios web sin validación comercial e incluso que tengan cuidado con la impresión desde una página web, ¿es poco probable que reciban un impacto?

Me parece que debería ir a un vector de ataque de un pozo de agua de Internet y aceptar imprimir o aceptar un controlador de impresora para ser detectado con malware relacionado con este vector. La red interna solo es accesible a un enrutador DSL con firewall.

    
pregunta Dalton Bentley 13.07.2016 - 21:06
fuente

3 respuestas

1

En mi humilde opinión, el riesgo puede mantenerse razonablemente bajo, porque el vector de ataque necesita que el usuario se conecte a un servidor de impresora infectado o instale un controlador infectado en su máquina.

Eso significa que siempre que el usuario no tenga privilegios administrativos, no intente instalar una nueva impresora en su máquina o no podrá hacerlo.

Solo se puede ver como una solución alternativa y documentada porque si la máquina se reutiliza más tarde, sería fundamental pasar el parche. Pero puede ser útil si, por alguna razón, no es posible hacer un seguimiento de una máquina específica.

    
respondido por el Serge Ballesta 10.01.2017 - 14:43
fuente
0

Consulte Boletín de seguridad MS16-087 de Microsoft para obtener información detallada sobre la mitigación alternativa estrategias.

CVE-2016-3238 requiere un ataque MitM exitoso donde los controladores de impresión maliciosos se envían de vuelta al cliente. En Factores atenuantes , se indica que el uso de las Políticas de restricción de punto e impresión puede ayudar.

CVE-2016-3239 requiere que el atacante "inicie sesión en un sistema afectado y ejecute un script o aplicación especialmente diseñado". No hay mitigación aquí, excepto para no permitir que un atacante inicie sesión.

La actualización está dirigida a redes con un servidor de impresión. Dado que la impresora está conectada a través de USB, tal vez sea el servidor de impresión. Si esto es cierto, evite que se ponga en contacto con otros servidores de impresión (incluso posibles servidores de impresión no autorizados) y eso debería mitigar esta vulnerabilidad para ese sistema. También puede implementar IPsec para asegurarse de que MitM no pueda ocurrir si los clientes usan la impresora a través de la red.

La mejor opción es hacer una copia de seguridad del sistema e instalar la actualización de seguridad. Es imposible sugerir que uno puede ser "cauteloso" en Internet y no ser golpeado por una vulnerabilidad. Hay demasiadas variables (privilegios mínimos, versión del sistema operativo, versión del navegador, complementos, configuración del navegador, DNS, etc.). También le impide hacer estas configuraciones únicas que pueden volverse inmanejables con el tiempo.

Además, si un atacante puede llevar a cabo este ataque, ahora tiene acceso a un sistema crítico para el negocio . Copia de seguridad, instalar actualización, prueba. Retroceder si es absolutamente necesario.

    
respondido por el user2320464 13.07.2016 - 21:56
fuente
0
  

¿ MS16-087 implica que una computadora con Windows 7 sea vulnerable a Internet?

Sí, de acuerdo con blog.vectranetworks , un ataque puede ser montado usando características conocido como IPP (Protocolo de impresión de Internet) y webpnp (Punto web e impresión)

  

Infectación remota mediante el Protocolo de impresión de Internet y webPointNPrint

     

Hasta ahora nos hemos limitado a una red interna donde se insertó o infectó un dispositivo y se usó para infectar aún más los dispositivos que se conectan a él. El protocolo de impresión de Internet (IPP) de Microsoft y webpointNprint nos permiten extender este problema fuera de la intranet a Internet. Microsoft IPP permite que el mismo mecanismo cargue el controlador desde la impresora. Esto se puede hacer con el siguiente fragmento de código del servidor de impresión MS.

    
respondido por el GAD3R 12.10.2016 - 13:13
fuente

Lea otras preguntas en las etiquetas

¿Cuáles son los riesgos de permitir a los Web Password Managers en una red corporativa? ¿Por qué el DNS Spoofing no funciona en los sitios HTTP, HTTPS? [en mi caso]