Microsoft publica actualización fuera de banda para vulnerabilidad de autenticación con tarjeta inteligente PIV

30 Julio 2021
Alto

Otra falla de seguridad de Microsoft se hace presente y nuevamente con problemas de impresión tras la vulnerabilidad PrintNightnare que abordamos en nuestro boletín “Errores sin parchear en la cola de impresión de Windows”. Esta vulnerabilidad llega con la actualización de Windows 10 afectando a impresoras y escáneres que permiten la autenticación con tarjeta inteligente (PIV) y que no admiten clave Diffie-Hellman o anuncian soporte para triple DES (des-ede3-cbc) durante la solicitud del Servicio de autenticación Kerberos (AS).

CVE-2021-33764 La autenticación con PIV puede causar fallas de impresión y escaneo

Es posible que las impresoras, escáneres y dispositivos multifunción no funcionen al usar la autenticación con tarjeta inteligente (PIV). Por lo que se debe habilitar esta mitigación temporal con una clave del Registro. En caso contrario, este problema se producirá después de instalar la actualización del 13 de julio de 2021 o posterior en controladores de dominio (DC) en su entorno

Los dispositivos afectados son impresoras, escáneres y dispositivos multifunción que autentican tarjetas inteligentes las cuales no admiten Diffie-Hellman (mecanismo de cifrado para intercambiar con seguridad claves) durante la autenticación PKINIT Kerberos (mecanismo de autenticación previa) o no anuncian compatibilidad con des-ede3-cbc ("triple DES herramienta cifrado / descifrado”) durante la solicitud de Kerberos AS.

Se soluciona temporalmente un problema con dispositivos que no cumplen con la sección 3.2.1 de la especificación RFC 4556,que es necesaria para CVE-2021-33764.

Cronología 

Acorde a la información entregada por Microsoft, la mitigación esperable de este CVE se deberá abordar acorde a las siguientes fechas: 

  • 13 de julio de 2021 - Actualizaciones publicadas con cambios de refuerzo para CVE-2021-33764 para Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2 SP1 y Windows Server 2008 SP2.
  • 27 de julio de 2021 - Actualizaciones publicadas con mitigación temporal para abordar problemas de impresión y escaneo en dispositivos que no cumplen en sistemas operativos Windows Server 2019, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2 SP1 y Windows Server 2008 SP2.
  • 29 de julio de 2021 - Actualizaciones publicadas con mitigación temporal para abordar problemas de impresión y escaneo en dispositivos que no cumplen para SO Windows Server 2016.
  • Mediados de enero de 2022 - Se espera versión de actualización de vista previa opcional para eliminar la mitigación temporal y requerir dispositivos de escaneo e impresión de quejas en su entorno para Windows Server 2019.
  • 8 de febrero de 2022 - Todas las actualizaciones publicadas hasta la fecha no podrán utilizar la mitigación temporal. Los dispositivos que autentican tarjetas inteligentes deben cumplir con la sección 3.2.1 de la especificación RFC 4556  requerida para  CVE-2021-33764 después de instalar estas actualizaciones o posteriormente en los controladores de dominio de Active Directory.

Mitigaciones

Acorde a las recomendaciones de Microsoft para utilizar la mitigación temporal en su entorno, siga estos pasos en todos sus controladores de dominio:

  • En sus controladores de dominio, establezca el valor de registro de mitigación temporal que se indica a continuación en 1 (habilitar) mediante el Editor del registro o las herramientas de automatización disponibles en su entorno.
  • Instale una actualización que permita la mitigación temporal disponible en las actualizaciones publicadas el 27 de julio de 2021 o posterior (a continuación se muestran las primeras actualizaciones para permitir la mitigación temporal):
    • Windows Server 2019:  KB5005394
    • Windows Server 2016:  KB5005393
    • Windows Server 2012 R2:  KB5005391
    • Windows Server 2012:  KB5005389

Se recomienda lo siguiente:

  • Instalar las actualizaciones del fabricante una vez disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
  • Para más información visitar el siguiente link: https://support.microsoft.com/en-us/topic/kb5005408-smart-card-authentication-might-cause-print-and-scan-failures-514f0bc5-ecde-4e5e-8c5a-2a776d7fb89a

El listado de las CVE se adjunta a continuación:


Tags: #Microsoft #Parche #Windows #CVE-2021-33764


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.