Windows Server
Tendencia

PrintNightmare: Solución a Vulnerabilidad Windows CVE-2021-34527

()

PrintNightmare es una vulnerabilidad que permite la ejecución código remoto cuando el servicio de cola de impresión de Windows realiza incorrectamente operaciones con archivos privilegiados. Con PrintNightmare un atacante podría ejecutar código arbitrario con privilegios de SYSTEM. A partir de ahí, el atacante podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas con permisos totales sobre el dominio.

Microsoft ha completado la investigación y ha publicado actualizaciones de seguridad para abordar esta vulnerabilidad. A continuación las detallaremos y explicaremos cómo aplicarlas.

Instalar actualizaciones para PrintNightmare

Tenemos varios métodos para instalar estas actualizaciones:

Actualizaciones de Windows para PrintNightmare

Actualización: El martes 13 de julio del 2021 fueron publicados los parches mensuales que sustituyen a los out-of-band. La lista de este artículo incluye ya los nuevos KBs.

Las actualizaciones de seguridad publicadas el 6 de julio de 2021 contienen protecciones para CVE-2021-1675 y el exploit sobre Windows Print Spooler conocido como “PrintNightmare”, documentado en CVE-2021-34527. Las actualizaciones son las siguientes:

Las actualizaciones para Windows 10 versión 1607, Windows Server 2016 y Windows Server 2012 fueron publicadas el 8 de Julio del 2021. Windows Server 2000 y Windows Server 2003 no tienen soporte.

Point and Print PrintNightmare – Claves registro necesarias tras actualizar

Además de instalar las actualizaciones, para proteger el sistema de PrintNightmare, Microsoft recomienda configurar las siguientes claves de registro en valor 0 (cero) o que no estén definidas. Estas claves de registro no existen de forma predeterminada, por lo que sólo pueden existir si las hemos configurado previamente:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
  • NoWarningNoElevationOnInstall = 0 (DWORD) o no definido (default setting)
  • UpdatePromptSettings = 0 (DWORD) o no definido (default setting)

Con estas claves de registro de Point And Print, el atacante necesitará identificarse como administrador al intentar instalar un driver de impresión. Añadiendo una capa extra de seguridad. Podemos configurarlo mediante una GPO, como en el siguiente ejemplo:

PrintNightmare - Point and Click - GPO

Workarounds para PrintNightmare

En caso de no poder distribuir las actualizaciones previamente comentadas, podemos seguir diversos Workarounds propuestos por Microsoft para PrintNightmare:

Determinar si el servicio Print Spooler está en ejecución:

Ejecutar el siguiente comando:

Si Print Spooler está en ejecución o el servicio no está marcado como Deshabilitado, ejecute una de las siguientes opciones para deshabilitar el servicio Print Spooler, o para deshabilitar la impresión remota a través de Directivas de Grupo:

Opción 1 – Deshabilite el servicio Print Spooler

Si es viable deshabilitar el servicio Print Spooler en su entorno, use los siguientes comandos de PowerShell:

‎Consecuencias de la solución: Al deshabilitar el servicio de cola de impresión, se deshabilita la capacidad de imprimir de forma local y remota.‎

‎Opción 2: deshabilitar la impresión remota entrante a través de la directiva de grupo‎

‎También puede configurar el servicio Print Spooler a través de la directiva de grupo:

Computer Configuration / Administrative Templates / Printers

Deshabilite la opción “Allow Print Spooler to accept client connections:” para bloquear ataques remotos.

Debemos reiniciar el servicio de Print Spooler para que las políticas surjan efecto.

Consecuencias de la solución: Esta directiva bloqueará la vía de ataque remota impidiendo las operaciones de impresión remota entrantes. El equipo ya no podrá funcionar como un servidor de impresión, pero la impresión local en un dispositivo conectado directamente seguirá siendo posible.‎

Preguntas Frecuentes sobre PrintNightmare

¿Los parches de Junio 2021 me protegen del PrintNightmare – CVE-2021-34527?

No. Esta vulnerabilidad es nueva a fecha de Julio 2021 y requiere de nuevos parches de seguridad.

¿Todas las versiones de Windows son afectadas por el PrintNightmare – CVE-2021-34527?

Sí. Todas las versiones de Windows, ya sean de escritorio o servidor, están afectadas.

¿Los Controladores de Dominio están afectados por PrintNightmare – CVE-2021-34527?

Los Controladores de Dominio están afectados por PrintNightmare si tienen el servicio Print Spooler activado.

¿Un PC o Servidor Windows que no sea un Controlador de Dominio está afectado por PrintNightmare?

Sí. Todas las versiones de Windows están afectadas.

¿Universal Print from Microsoft está afectado por PrintNightmare?

No. Microsoft no ha informado que Universal Print esté afectado por PrintNightmare.

¿PrintNightmare afecta en entornos virtuales como Citrix / RDS / VMware?

Aunque estemos utilizando herramientas de impresión de terceros, es muy posible que aún así se basen en el servicio nativo de Windows. Por lo que seguiría siendo vulnerable ante PrintNightmare. Esto aplica a servicios como ThinPrint y Tricerat entre otros.

¿De cuánta utilidad te ha parecido este contenido?

¡Haz clic en una estrella para puntuar!

Promedio de puntuación / 5. Recuento de votos:

Hasta ahora, ¡no hay votos!. Sé el primero en puntuar este contenido.

Ya que has encontrado útil este contenido...

¡Sígueme en los medios sociales!

¡Siento que este contenido no te haya sido útil!

¡Déjame mejorar este contenido!

Dime, ¿cómo puedo mejorar este contenido?

Nando Corzo

Apasionado del sector IT y las tecnologías Microsoft con más de 5 años de experiencia en entornos complejos (Banca, Congresos y Servicios públicos). Explotando y aprendiendo cada día sobre Modern Workplace. Escribo sobre SCCM, Windows, Microsoft Intune, Hyper-V, etc...

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba