Las fallas críticas en el servicio de cola de impresión de Windows podrían permitir ataques remotos


Se insta a los administradores a aplicar los últimos parches de Microsoft y deshabilitar el servicio de cola de impresión de Windows en los controladores de dominio y los sistemas que no se utilizan para imprimir.

security.jpg

iStock / weerapatkiatdumrong

Microsoft está lidiando con un par de agujeros de seguridad en su servicio de cola de impresión de Windows que podrían permitir a los atacantes controlar de forma remota un sistema afectado. Cualquiera capaz de aprovechar la vulnerabilidad más reciente de los dos podría ejecutar código en la computadora comprometida con todos los privilegios del sistema. Ese atacante podría instalar program, modificar datos y crear nuevas cuentas de usuario, según Microsoft.

Las fallas afectan todas las versiones de Windows para clientes y servidores, incluidos Windows 7, 8.1 y 10, así como Server 2004, 2008, 2012, 2016 y 2019.

VER: Los 10 ciberataques más importantes de la década (PDF gratuito) (TechRepublic)

La situación es confusa porque involucra dos fallas diferentes, una de las cuales ha sido reparada y la otra aún está pendiente de ser reparada. Conocido como CVE-2021-1675, la primera falla se resolvió a través de las actualizaciones de seguridad de Microsoft de junio de 2021. Se recomienda a los usuarios y administradores que aún no hayan aplicado las actualizaciones de junio que lo hagan para corregir esta vulnerabilidad.

Apodado CVE-2021-34527, el segundo defecto es equivalent al primero en que apunta a un agujero de seguridad en el servicio de cola de impresión de Home windows. Pero éste, apodado PrintNightmare, implica un problema en RpcAddPrinterDriverEx (), una función que permite a los usuarios instalar o actualizar un controlador de impresora en el servidor de impresión. CVE-2021-34527 es la falla que podría permitir a un atacante ejecutar código en una Laptop comprometida para luego instalar programas, modificar datos y crear nuevas cuentas.

Con esta segunda vulnerabilidad, los controladores de dominio se ven afectados si el servicio de cola de impresión está habilitado. Sin embargo, los equipos cliente y servidor de Home windows que no son controladores de dominio también podrían verse afectados si Apuntar e imprimir está habilitado o el grupo Usuarios autenticados está anidado dentro de otro grupo en la sección de mitigación.

Como todavía no hay un parche para CVE-2021-34527, tanto Microsoft como el Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) están animando a los administradores a deshabilitar el servicio de cola de impresión de Windows en los controladores de dominio y los sistemas que no se utilizan para imprimir. A nota de vulnerabilidad del Centro de coordinación de CERT explica dos opciones para deshabilitar el servicio de cola de impresión, una para una computadora unique y otra para su dominio a través de la Política de grupo.

Opción 1: detener y deshabilitar el servicio de cola de impresión

  1. Abra un indicador de PowerShell
  2. Ejecute el comando: End-Company -Name Spooler -Drive
  3. Luego ejecute el comando: Set-Company -Title Spooler -StartupType Disabled

Opción 2: deshabilitar la impresión remota entrante a través de la directiva de grupo

  1. Política de grupo abierta
  2. Vaya a Configuración del equipo / Plantillas administrativas / Impresoras
  3. Deshabilite la configuración para «Permitir que la cola de impresión acepte conexiones de cliente»

En este caso, las computadoras afectadas ya no podrán funcionar como servidores de impresión, aunque aún puede imprimir localmente en una impresora conectada.

«Estas vulnerabilidades, en certain CVE-2021-34527, son extremadamente graves», dijo Jake Williams, cofundador y director de tecnología de la empresa de respuesta a incidentes BreachQuest. «En las pruebas en el laboratorio de BreachQuest, pudimos pasar de un contexto de usuario standard a permisos completos de administrador de dominio rápidamente sin rastros concluyentes del exploit en el registro predeterminado».

Debido a que ambas vulnerabilidades existen en las 40 versiones diferentes de Microsoft Windows, las empresas y los consumidores habituales estarán en riesgo, según Dirk Schrader, vicepresidente international de investigación de seguridad de New Net Technologies. Los atacantes podrían infiltrarse en grandes organizaciones para la extracción y el cifrado de datos e infectar a usuarios individuales para expandir botnets o lanzar redes de criptominería, dijo Schrader, y agregó que es solo cuestión de tiempo antes de que veamos los primeros exploits en la naturaleza.

Por supuesto, la gran pregunta es cuándo lanzará Microsoft un parche para la vulnerabilidad CVE-2021-34527. TechRepublic envió esa pregunta a la agencia de relaciones públicas de la compañía y está esperando una respuesta. Por ahora, todo lo que tenemos es el comentario de Microsoft en sus preguntas frecuentes:

«Estamos trabajando en una actualización para protegernos de esta vulnerabilidad. Probamos todas las actualizaciones para garantizar la calidad y la compatibilidad. Lanzaremos la solución tan pronto como cumpla con los estándares de calidad requeridos para una amplia distribución».

El próximo martes de parches de Microsoft ocurrirá el martes 13 de julio. ¿Esperará la compañía hasta entonces para solucionar este defecto o actuará antes? Al señalar que la solución involucra muchos componentes heredados, lo que dificulta la prueba, Williams dijo que no espera ver un parche fuera de banda, lo que significa que es possible que no haya solución antes del martes de parches de la próxima semana.

Ver también



Enlace a la noticia authentic