Microsoft les dice a los usuarios que apaguen la impresora en cola para protegerse contra la explotación de día cero

Aranzulla de Los Pobres

Microsoft ha emitido una serie de medidas de mitigación contra una explotación de día cero que, según la compañía tecnológica, "los atacantes están explotando activamente".

El exploit de día cero, conocido como PrintNightmare , aprovecha una vulnerabilidad en Windows Print Spooler y podría permitir que un atacante ejecute código de forma remota.

Si bien no existe una solución específica para PrintNightmare, el aviso de Microsoft contiene dos opciones que los usuarios pueden implementar para proteger su sistema contra la vulnerabilidad potencialmente peligrosa.

PrintNightmare es el trabajo de impresión del infierno

La cola de impresión es un servicio de software de Windows que administra los procesos de impresión de su sistema. Cuando presiona imprimir, el spooler toma el trabajo de impresión entrante del software (o sistema operativo) y asegura que la impresora y sus recursos (papel, tinta, etc.) estén listos para la acción. Cuando envía varios trabajos de impresión, la cola de impresión los pone en cola y administra la salida de la impresora.

El servicio de cola de impresión tiene acceso a todo el sistema. Si bien suena inofensivo, puede convertir dicho servicio en un objetivo para los atacantes que buscan atacar recursos con privilegios en todo el sistema.

En este caso, la empresa de seguridad china Sangfor publicó accidentalmente un exploit de prueba de concepto para un ataque de día cero en su página de GitHub. La compañía inmediatamente sacó el código, pero no antes de que se bifurcara y se copiara en la naturaleza.

PrintNightmare, cuyo seguimiento es CVE-2021-34527 , es una vulnerabilidad de ejecución remota de código. Esto significa que si un atacante aprovechara la vulnerabilidad, teóricamente podría ejecutar código malicioso en un sistema de destino. Si bien usted puede ser el objetivo principal de un exploit de este tipo, miles de millones de computadoras y servidores en todo el mundo usan Microsoft Print Spooler, razón por la cual PrintNightmare está causando tales problemas.

Relacionado: El mejor software antivirus gratuito

Microsoft aconseja con cautela la desactivación del servicio de cola de impresión

Hasta que se encuentre una solución específica, Microsoft aconseja a los usuarios, empresas y organizaciones que desactiven el servicio Print Spooler en cualquier servidor que no lo requiera.

Hay dos formas en que las organizaciones pueden deshabilitar el servicio de cola de impresión: a través de PowerShell o mediante la directiva de grupo.

Potencia Shell

  1. Abra PowerShell .
  2. Entrada Stop-Service -Name Spooler -Force
  3. Entrada Set-Service -Name Spooler -StartupType deshabilitado

Política de grupo

  1. Abra el Editor de políticas de grupo (gpedit.msc)
  2. Vaya a Configuración del equipo / Plantillas administrativas / Impresoras
  3. Busque la política Permitir que el administrador de trabajos de impresión acepte las conexiones del cliente
  4. Establecer en Desactivar> Aplicar

Microsoft no es la única organización que aconseja a los usuarios que desactiven los servicios de cola de impresión siempre que sea posible. CISA también publicó una declaración en la que aconsejaba una política similar, alentando a "los administradores a desactivar el servicio de cola de impresión de Windows en los controladores de dominio y los sistemas que no imprimen".

Aunque Microsoft está volviendo a emitir este consejo con respecto a PrintNightmare, la compañía aconseja esta política en todo momento para protegerse contra intrusiones inesperadas a través de este método. Desactivar el servicio Print Spool mediante una directiva de grupo es la mejor manera de garantizar la seguridad en todo el dominio.