Microsoft dice que PrintNightmare ya está siendo explotado y ofrece una solución alternativa

Hace dos días informamos sobre un exploit de día cero nuevo y sin parches que se acaba de lanzar y que otorga a los atacantes capacidades completas de ejecución remota de código en dispositivos Windows Print Spooler con parches completos.

El truco, llamado PrintNightmare, permite que el código del atacante se ejecute con todos los privilegios del sistema y se lanzó junto con el código de prueba de concepto, por lo que estaba listo para ser explotado por piratas informáticos.

El principal factor atenuante es que los piratas informáticos necesitan algunas credenciales (incluso de bajo privilegio) para la red, pero para las redes empresariales, estas se pueden comprar fácilmente por alrededor de $ 3.

Microsoft finalmente respondió a la noticia publicando el aviso de vulnerabilidad de ejecución remota de código CVE-2021-34527 Windows Print Spooler.

Microsoft dice:

Microsoft conoce e investiga una vulnerabilidad de ejecución remota de código que afecta a Windows Print Spooler y ha asignado CVE-2021-34527 a esta vulnerabilidad. Esta es una situación en evolución y actualizaremos el CVE a medida que haya más información disponible.

Existe una vulnerabilidad de ejecución remota de código cuando el servicio de cola de impresión de Windows realiza incorrectamente operaciones con archivos privilegiados. Un atacante que aproveche con éxito esta vulnerabilidad podría ejecutar código arbitrario con privilegios de SISTEMA. Entonces, un atacante podría instalar programas; ver, cambiar o eliminar datos; o cree nuevas cuentas con todos los derechos de usuario.

Un ataque debe involucrar a un usuario autenticado que llame a RpcAddPrinterDriverEx().

Asegúrese de haber aplicado las actualizaciones de seguridad publicadas el 8 de junio de 2021 y consulte las secciones de preguntas frecuentes y soluciones alternativas en este CVE para obtener información sobre cómo ayudar a proteger su sistema de esta vulnerabilidad.

En su Evaluación de explotabilidad, señalan que ya han detectado exploits.

Microsoft ofrece la siguiente solución alternativa que, sin embargo, desactiva Print Spooler:

Determinar si el servicio de cola de impresión se está ejecutando (ejecutar como administrador de dominio)

Ejecute lo siguiente como administrador de dominio:

Get-Service -Name Spooler

Si Print Spooler se está ejecutando o si el servicio no está configurado como deshabilitado, seleccione una de las siguientes opciones para deshabilitar el servicio de Print Spooler o para deshabilitar la impresión remota entrante a través de la directiva de grupo:

Opción 1: deshabilitar el servicio de cola de impresión

Si deshabilitar el servicio de cola de impresión es apropiado para su empresa, use los siguientes comandos de PowerShell:

Stop-Service -Name Spooler -Force

Set-Service -Name Spooler -StartupType Disabled

Impacto de la solución alternativa Al deshabilitar el servicio de cola de impresión, se deshabilita la capacidad de imprimir de forma local y remota.

Opción 2: deshabilite la impresión remota entrante a través de la directiva de grupo

También puede configurar los ajustes a través de la Política de grupo de la siguiente manera:

Configuración de la computadora / Plantillas administrativas / Impresoras

Deshabilite la política "Permitir que Print Spooler acepte conexiones de clientes:" para bloquear ataques remotos.

Impacto de la solución alternativa Esta política bloqueará el vector de ataque remoto al evitar las operaciones de impresión remota entrantes. El sistema ya no funcionará como un servidor de impresión, pero aún será posible la impresión local a un dispositivo conectado directamente.

Lea todos los detalles en Microsoft esta página.