PrintNightmare: la vulnerabilidad crítica en la cola de Impresión de Windows

La Agencia de Seguridad Cibernética y de Infraestructuras (CISA) de Estados Unidos descubrió una importante vulnerabilidad en el servicio de cola de impresión de Windows que Microsoft está investigando activamente.

Microsoft publicó una serie de medidas de mitigación contra un exploit de día cero que, según la compañía tecnológica, "los atacantes están explotando activamente".

El exploit de día cero, conocido como PrintNightmare, aprovecha una vulnerabilidad en el Print Spooler de Windows y podría permitir a un atacante ejecutar código de forma remota.

Aunque no hay una solución específica para PrintNightmare, el aviso de Microsoft contiene dos opciones que los usuarios pueden implementar para proteger su sistema contra el potencialmente peligroso exploit.

La cola de impresión es un servicio de software de Windows que gestiona los procesos de impresión del sistema. Cuando se pulsa imprimir, el spooler toma el trabajo de impresión entrante del software (o sistema operativo) y se asegura de que la impresora y sus recursos (papel, tinta, etc.) estén listos para la acción. Cuando envías varios trabajos de impresión, el spooler los pone en cola y gestiona la salida de la impresora.

El servicio de spooler de impresión tiene acceso a todo el sistema. Aunque parece inocuo, puede convertir a este servicio en un objetivo para los atacantes que buscan atacar recursos con privilegios de todo el sistema.

En este caso, la empresa de seguridad china Sangfor publicó accidentalmente en su página de GitHub una prueba de concepto de un ataque de día cero. La empresa retiró inmediatamente el código, pero no antes de que fuera bifurcado y copiado en la naturaleza.

PrintNightmare, rastreado como CVE-2021-34527, es una vulnerabilidad de ejecución remota de código. Esto significa que si un atacante explotara la vulnerabilidad, podría teóricamente ejecutar código malicioso en un sistema objetivo. Miles de millones de dispositivos y servidores en todo el mundo utilizan el Print Spooler de Microsoft, razón por la cual PrintNightmare está causando tales problemas.

Microsoft aconseja con cautela desactivar el servicio Print Spooler

Hasta que se encuentre una solución específica, Microsoft aconseja a los usuarios, empresas y organizaciones que deshabiliten el servicio Print Spooler en cualquier servidor que no lo necesite.

Hay dos maneras en que las organizaciones pueden desactivar el servicio Print Spooler: a través de PowerShell o a través de la Política de Grupo.

PowerShell

1. Abrir PowerShell.
2. Introduzca Stop-Service -Name Spooler -Force
3. Introduzca Set-Service -Name Spooler -StartupType Disabled

Política de grupo

1. Abra el Editor de Políticas de Grupo (gpedit.msc)
2. Vaya a Configuración del equipo / Plantillas administrativas / Impresoras
3. Localice la política Permitir que el administrador de impresión acepte conexiones de clientes
4. Establezca en Desactivar > Aplicar

Microsoft no es la única organización que aconseja a los usuarios desactivar los servicios de cola de impresión cuando sea posible. CISA también publicó un comunicado aconsejando una política similar, animando a "los administradores a desactivar el servicio de cola de impresión de Windows en los controladores de dominio y en los sistemas que no imprimen".

Aunque Microsoft vuelve a emitir este consejo en relación con PrintNightmare, la compañía aconseja esta política en todo momento para protegerse de intrusiones inesperadas a través de este método. Desactivar el servicio Print Spool mediante una directiva de grupo es la mejor manera de garantizar la seguridad en todo el dominio.