Header Ads Widget

Ticker

6/recent/ticker-posts

Una inclinación por los parches: después de 20 años, el sistema sigue siendo un desastre

Aunque Microsoft ha probado una variedad de esquemas de parcheo durante las últimas dos décadas, los problemas de actualización continúan sin un final a la vista.


Como Microsoft Patch Lady, he estado parcheando computadoras y servidores durante más de 20 años. Comenzamos con un proceso que no estaba bien planeado. No teníamos un día o una hora establecidos para el lanzamiento de los parches, y no había forma de administrar e implementar las actualizaciones de manera centralizada. A lo largo de los años, Microsoft ha adoptado un plan de implementación más confiable y la capacidad de administrar actualizaciones a través de plataformas que van desde Windows Update hasta Windows Software Update Services y servicios en la nube.

Entonces las cosas deberían estar mejor ahora, ¿verdad? Hemos tenido 20 años para hacerlo bien.

Y, sin embargo, esto es lo que he visto con respecto a los parches en la última semana.

Ahora estamos en tres meses y contamos con problemas continuos con la impresión causados ​​por parches. (Este mes incluyó otra solución para otra vulnerabilidad de la cola de impresión). He visto empresas que se enfrentan a nuevos efectos secundarios que afectan directamente a la impresión y, curiosamente, estas son empresas que no tuvieron problemas con las actualizaciones anteriores. Este mes, las redes peer-to-peer de Windows 10 parecen ser las más afectadas. (Para su información: el desencadenante de todos estos problemas de impresoras parece ser los controladores de impresora de tipo 3 más antiguos. Pasar a los controladores de tipo 4 podría ayudar si esa es una opción para usted).

He visto a algunos usuarios hacer lo siguiente para que la impresión funcione en una red solo de Windows 10:

Retire la impresora en la PC del cliente.
Agregue un usuario al administrador de credenciales en la PC cliente para la PC servidor que tiene privilegios administrativos.
Cree un usuario administrador en la PC del servidor o utilice uno existente. (No he tenido éxito con solo un usuario estándar).
Asegúrese de que el nombre de usuario del administrador de credenciales contenga el nombre de la PC del servidor delante del nombre de usuario como este: ServerPCNAME \ UserName
Reinicie el servicio de cola de impresión.
Abra un símbolo del sistema administrativo y ejecute el siguiente comando para iniciar la interfaz de usuario de instalación de la impresora como administrador: —rundll32 printui.dll, PrintUIEntry / il
Otros han utilizado una configuración de registro para eludir la protección de autenticación RPC. Pero eso abre su computadora a posibles ataques, ya que desactiva las protecciones del parche. Algunos usuarios han eliminado KB5005565 , pero ahí radica el problema con el parche, incluso después de 20 años: si elimina un parche, se abre a los ataques de las otras vulnerabilidades no parcheadas. Caso en cuestión: si elimina la actualización de este mes, se abre a las vulnerabilidades de MSHTML que se utilizan en los ataques de ransomware. ¿Y qué pasa si Microsoft no soluciona los problemas de impresión el próximo mes? Necesita encontrar su propia solución alternativa o corre el riesgo de quedarse sin parches.

Claramente, ir sin parchear no es la respuesta. Pero cuando algunas de las impresoras afectadas incluyen estaciones de trabajo de punto de venta y cintas de registro, no imprimir no es realmente una solución.


Hace años, Microsoft solía ofrecer actualizaciones específicas para cada problema de seguridad individual. Esto llevó a una implementación de actualizaciones muy fragmentada. A menudo, cuando un cliente llamaba a Microsoft con un problema después de instalar las actualizaciones, el equipo de soporte se daría cuenta de que los clientes estaban atrasados ​​en la instalación de otros parches, por lo que faltaban actualizaciones clave que resolverían el problema. La raíz del problema no era el parche de seguridad, eran los clientes que faltaban otras actualizaciones clave. Así que Microsoft pasó al modelo de actualización acumulativa para garantizar que todos los clientes estuvieran en el mismo sistema operativo y tuvieran la misma base central.

Si bien Windows 7 y 8.1 todavía tienen la opción de instalar actualizaciones solo de seguridad, Windows 10 tiene el modelo de parcheo solo acumulativo. (Windows 11, que vence el 5 de octubre, también será acumulativo). Eso significa que si tiene problemas con las actualizaciones de este mes y las omite, es posible que no se solucionen en las actualizaciones del próximo mes y es posible que vuelva a enfrentar la misma situación.

Si cree que mover todo a la nube es la respuesta, vuelva a intentarlo. Recientemente, la firma de seguridad WIZ señaló que en cada máquina virtual Linux implementada en la nube de Azure, Microsoft coloca un agente de monitoreo en las máquinas virtuales. Estos agentes tienen una vulnerabilidad. No hay problema, Microsoft puede parchearlo por usted, ¿verdad? Bueno, como señala The Register , debe parchear este problema, no Microsoft. Si bien planea proporcionar recursos para parchear dichos agentes automáticamente, esa herramienta aún no está disponible.

Pero seguramente si simplemente parchea su software de Microsoft, eso es suficiente para mantener a raya el ransomware, ¿verdad? Incorrecto. Los investigadores han acumulado una lista de todas las vulnerabilidades de software  utilizadas en los ataques de ransomware. Resulta que los atacantes no solo persiguen el software de Microsoft, sino que también utilizan otros puntos de entrada. Los sistemas de firewall Sonicwall han sido blanco de ataques de ransomware. Se han seleccionado opciones de almacenamiento conectadas a la red, como QNAP y Synology. Incluso se ha utilizado software de red privada virtual como Fortinet para obtener acceso ilícito a una red.

Dado que los atacantes buscan puntos de entrada a las redes donde sea que los encuentren, cualquier cosa, desde estaciones de trabajo (Microsoft) hasta dispositivos de almacenamiento (unidades NAS), hasta dispositivos periféricos (firewalls y software VPN), debe ser monitoreado en todo momento para obtener actualizaciones. ¿Y tiene una solución para monitorear y parchear todos esos? (Debería.)

Volviendo a mi punto original, han pasado veinte años y no parece que estemos avanzando en absoluto. Aparentemente, todavía estamos dando vueltas en círculos tratando de parchear y tratando de mantenernos un paso por delante de los malos. Entonces, ¿qué podemos hacer? Comuníquese con todos nuestros proveedores y pídales que lo hagan mejor. Deben asegurarse de que los dispositivos clave se actualicen y corrijan automáticamente. Deben hacer un mejor trabajo al comprender que la mera instalación de actualizaciones no funcionará si causan dolores de cabeza y efectos secundarios que bloquean problemas clave como la impresión.

Tenemos que hacerlo mejor. Los proveedores tienen que hacerlo mejor. Dos décadas después, los atacantes siguen ofendiendo.


Publicar un comentario

0 Comentarios