Vulnerabilidad crítica en la cola de impresión de Windows

Crítica Alerta 5

Ayer ya anunciábamos en nuestro apartado de noticias la vulnerabilidad crítica llamada «Print Nightmare« CVE-2021-34527, pues esta vulnerabilidad detectada el día 1 de julio, acaba de recibir una actualización por parte de Windows.

Por casualidad, hace unos días, también surgió otra vulnerabilidad en la cola de impresión CVE-2021-1675. Esta vulnerabilidad es similar pero distinta, el vector de ataque es diferente.

Según Microsoft:

Existe una vulnerabilidad de ejecución remota de código cuando el servicio de cola de impresión de Windows realiza incorrectamente operaciones con archivos privilegiados. Un atacante que aproveche con éxito esta vulnerabilidad podría ejecutar código arbitrario con privilegios de SISTEMA. Entonces, un atacante podría instalar programas; ver, cambiar o eliminar datos; o crear nuevas cuentas con todos los derechos de usuario.

ACTUALIZACIÓN 6 de julio de 2021: Microsoft ha completado la investigación y ha publicado actualizaciones de seguridad para abordar esta vulnerabilidad. Consulte la tabla de Actualizaciones de seguridad para conocer la actualización correspondiente a su sistema. Le recomendamos que instale estas actualizaciones inmediatamente. Si no puede instalar estas actualizaciones, consulte las secciones de Preguntas frecuentes y Soluciones del CVE para obtener información sobre cómo ayudar a proteger su sistema de esta vulnerabilidad. Consulte también KB5005010: Restricción de la instalación de nuevos controladores de impresora después de aplicar las actualizaciones del 6 de julio de 2021.

Tenga en cuenta que las actualizaciones de seguridad publicadas a partir del 6 de julio de 2021 contienen protecciones para CVE-2021-1675 y el exploit de ejecución remota de código adicional en el servicio Windows Print Spooler conocido como «PrintNightmare», documentado en CVE-2021-34527.

Soluciones alternativas

Determine si el servicio de cola de impresión se está ejecutando

Ejecute lo siguiente:

Get-Service -Name Spooler

Si la cola de impresión se está ejecutando o si el servicio no está configurado como deshabilitado, seleccione una de las siguientes opciones para deshabilitar el servicio de cola de impresión o para deshabilitar la impresión remota entrante a través de la directiva de grupo:

Opción 1: deshabilitar el servicio de cola de impresión

Si deshabilitar el servicio de cola de impresión es apropiado para su empresa, use los siguientes comandos de PowerShell:

Stop-Service -Name Spooler -Force
Set-Service -Name Spooler -StartupType Disabled

Impacto de la solución alternativa. La desactivación del servicio de cola de impresión desactiva la capacidad de imprimir tanto de forma local como remota.

Opción 2: deshabilitar la impresión remota entrante a través de la directiva de grupo

También puede configurar los ajustes a través de la Política de grupo de la siguiente manera:

Configuración de la computadora / Plantillas administrativas / Impresoras

Deshabilite la política «Permitir que la cola de impresión acepte conexiones de cliente:» para bloquear ataques remotos.

Debe reiniciar el servicio de cola de impresión para que la política de grupo surja efecto.

Impacto de la solución alternativa. Esta política bloqueará el vector de ataque remoto al evitar las operaciones de impresión remota entrantes. El sistema ya no funcionará como servidor de impresión, pero la impresión local en un dispositivo conectado directamente seguirá siendo posible.

Para obtener más información, consulte: Usar la configuración de la directiva de grupo para controlar las impresoras.

Preguntas más frecuentes

¿Es esta la vulnerabilidad a la que se ha hecho referencia públicamente como PrintNightmare?

Sí, Microsoft asignó CVE-2021-34527 a esta vulnerabilidad.

¿Esta vulnerabilidad está relacionada con CVE-2021-1675?

Esta vulnerabilidad es similar pero distinta de la vulnerabilidad que se le asigna CVE-2021-1675. El vector de ataque también es diferente. CVE-2021-1675 fue abordado por la actualización de seguridad publicada el 8 de junio de 2021.

¿La actualización de junio de 2021 introdujo esta vulnerabilidad?

No, la vulnerabilidad existía antes de la actualización de seguridad del 8 de junio de 2021.

Todas las versiones de Windows se enumeran en la tabla Actualizaciones de seguridad. ¿Todas las versiones son vulnerables?

Todas las versiones de Windows son vulnerables. Las versiones compatibles de Windows que no tienen actualizaciones de seguridad disponibles el 6 de julio se actualizarán poco después del 6 de julio.

¿Qué vulnerabilidades abordan las actualizaciones de seguridad publicadas a partir del 6 de julio de 2021?

Las actualizaciones de seguridad publicadas a partir del 6 de julio de 2021 contienen protecciones para un exploit de ejecución remota de código en el servicio Windows Print Spooler conocido como «PrintNightmare», documentado en CVE-2021-34527, así como para CVE-2021-1675.

¿Se sabe que los controladores de dominio se ven afectados por la vulnerabilidad?

Los controladores de dominio se ven afectados si el servicio de cola de impresión está habilitado.

¿Se sabe que los sistemas cliente y los servidores miembro que no son controladores de dominio se ven afectados por la vulnerabilidad?

Si. Todas las ediciones compatibles de Windows se ven afectadas.

¿Cómo puedo ver la actividad de ataque en mi red relacionada con esta vulnerabilidad?

Los productos de seguridad, como Microsoft 365 Defender, ofrecen diferentes formas de ver las alertas y la telemetría relevantes. Microsoft ha publicado nuestras recomendaciones para ver este tipo de comportamiento en nuestro GitHub aquí: Consultas de búsqueda de Microsoft 365 Defender . Los clientes que utilizan otras tecnologías pueden adaptar esta lógica para utilizarla en sus entornos.

¿Cómo se ve afectada la tecnología Point and Print por esta vulnerabilidad en particular?

Point and Print no está directamente relacionado con esta vulnerabilidad, pero la tecnología debilita la postura de seguridad local de tal manera que la explotación será posible. Para reforzar Point and Print, asegúrese de que se muestren avisos de advertencia y elevación para las instalaciones y actualizaciones de la impresora. Estas son las configuraciones predeterminadas, pero verifique o agregue las siguientes modificaciones de registro:

  • HKEY_LOCAL_MACHINE \ SOFTWARE \ Políticas \ Microsoft \ Windows NT \ Printers \ PointAndPrint
  • NoWarningNoElevationOnInstall = 0
  • NoWarningNoElevationOnUpdate = 0

También recomendamos enumerar explícitamente los servidores de impresión específicos que deben utilizar los clientes.

Para más información, ver:

Recibe las alertas de seguridad a tu email:
Comparte esta alerta de seguridad:

Deja un comentario

Calendario Ciberseguridad /24

LIVE WEBINAR | 1/2/2024

Cómo proteger tu Active Directory de ataques Ransomware con Tenable

Alertas de seguridad

Mantente informado, recíbelas en tu email
Consulta las últimas alertas