\ /

Print Nightmare, la nueva pesadilla de seguridad que afecta a usuarios de Windows

La vulnerabilidad CVE-2021-34527, se puede encontrar en la web de Microsoft con el nombre de "Windows Print Spooler Remote Code Execution Vulnerability", sin embargo internet se ha bautizado como Print Nightmare. Esta vulnerabilidad se considera grave ya que permite a terceros la ejecución de código remoto con elevación de privilegios del sistema. Es decir, permite que un atacante no solo instale programas en otros ordenadores, sino también acceder a datos, modificarlos o eliminarlos, e incluso crear nuevas cuentas de usuario con todos los privilegios.

Microsoft ya ha levantado una alerta de seguridad para sus usuarios de los sistemas operativos Windows 10 y Windows 7 y les recomeinda actualizar inmediatamente sus equipos. Han sido enfáticos en que la vía para evitar este riesgo es instalando el parche de seguridad.

¿Cual es la diferencia de "Print Nightmare" con respecto a otras vulnerabilidades?

La respuesta habitual ante este tipo de eventos es lanzar un parche de seguridad de emergencia. Y así ocurrió, con la diferencia de que algunas personas que instalaron este parche oficial, han descubierto que la conexión a su impresora simplemente dejó de funcionar. Microsoft ha reconocido el problema y ha pedido a los usuarios afectados que “desinstalen el parche de seguridad” para seguir utilizando de manera normal sus impresoras ya que planean lanzar un parche actualizado en los próximos días.

Es importante resaltar que esta vulnerabilidad expone a todos los usuarios, independientemente de si tienen o no una impresora instalada. El recurso afectado denominado "Print spooler" que se encarga de gestionar la cola de impresion, es un proceso que por defecto inicia con el sistema operativo y a través de la explotacion de la vulnerabilidad en este recurso es como se puede obtener control del equipo. Además con permisos administrativos.

Sistemas afectados

La vulnerabilidad publicada utiliza la función RpAddPrinterDriverEx(), utilizada para instalar el controlador de la impresora en el sistema, para permitir a un atacante autenticado de forma remota ejecutar código arbitrario con privilegios en los siguientes sistemas:

  • Windows 7, 8.1
  • Windows 10 (incluyendo 20H2, 2004,1607,1809 y 1909);
  • Windows Server 2008 (incluyendo R2, R2 SP1 y R2 SP2);
  • Windows Server 2012 (incluyendo R2);
  • Windows Server 2016;
  • Windows Server 2019;
  • Windows Server, versión 2004;
  • Windows Server, versión 20H2.

NOTA: Microsoft está investigando si este fallo podría afectar a otras versiones de Windows.

Solucion

En primer lugar, es necesario determinar si el servicio Print Spooler se está ejecutando. Para ello, tendremos que ejecutar el siguirente comando como administrador del dominio con PowerShell:

`Get-Service -Name Spooler`

Opcion 1:

Como primera medida de mitigación se recomienda parar o desactivar el servicio de cola de impresión en TODOS los sistemas afectados y que hagan uso de este servicio, ya que como ya se ha mencionado, se encuentra activado por defecto. Esta medida impide la impresión en local y como servidor de impresión. Es decir, el sistema no va a ser capaz de imprimir nada si este servicio se encuentra deshabilitado.

Se puede desactivar el servcicio con los comandos en Powershell:

`Stop-Service -Name Spooler -Force`

`Set-Service -Name Spooler -StartupType Disabled`

Opcion 2:

En caso de tener una impresora instalada. Para bloquear ataques remotos, este metodo consiste en modificar la siguiente política en la ruta:

«Configuración del equipo / Plantillas administrativas / Impresoras» 

Deshabilitar la política:

«Permitir que la cola de impresión acepte conexiones de clientes»

La impresora dejará de aceptar peticiones como servidor de impresión, permitiendo solo la impresión desde dispositivos directamente conectados.

Conclusion

A pesar de que Microsoft ha publicado algunas actualizaciones para solucionar la vulnerabilidad en solo algunos de los sistemas operativos afectados, todavia quedan algunas versiones como Windows 10 versión 1607, Windows Server 2012 y 2016, que no han recibido actualización de seguridad de momento. Microsoft indica que éstas estarán disponibles lo antes posible.

comments powered by Disqus