Nueva vulnerabilidad día cero en Print Spooler de Microsoft Windows

Este agosto Microsoft ha publicado un aviso de seguridad fuera de banda que reconoce la existencia de otra vulnerabilidad de Print Spooler (CVE-2021-36958).

El servicio Print Spooler es uno de los componentes más antiguos de Windows y su código tiene al menos 20 años y ha comenzado a ser examinado cada vez más por investigadores y atacantes.

Una vulnerabilidad en el servicio fue explotada hace más de una década por los atacantes de Stuxnet y, desde entonces, ha habido un flujo constante de nuevos descubrimientos, como PrintDemon y PrintNightmare.

¿Qué provoca?

Es una vulnerabilidad de ejecución remota de código que existe cuando el servicio Windows Print Spooler realiza incorrectamente operaciones de archivos privilegiados.

Un atacante que aproveche con éxito esta vulnerabilidad podría ejecutar código arbitrario con privilegios de SISTEMA. Entonces, un atacante podría instalar programas; ver, cambiar o eliminar datos; o crear nuevas cuentas con todos los derechos de usuario.

¿Qué podemos hacer?

Por el momento, no existe arreglo por parte de Microsoft. Pero se indica esta solución alternativa:

A partir del 14/9/2021 las actualizaciones ya solucionan el problema. No hará falta desactivar la cola de impresión.

Determinar si el servicio de cola de impresión se está ejecutando para detenerlo y desactivarlo

Para hacer esto, primero hay que ejecutar lo siguiente en Windows PowerShell: