Vulnerabilidad crítica en Print Spooler de Microsoft Windows
- Windows 7, 8.1
- [Act. 02/07/2021] Windows 10 (incluyendo 20H2, 2004,1607,1809 y 1909);
- Windows Server 2008 (incluyendo R2, R2 SP1 y R2 SP2);
- Windows Server 2012 (incluyendo R2);
- Windows Server 2016;
- Windows Server 2019;
- Windows Server, versión 2004;
- Windows Server, versión 20H2.
[Act. 02/07/2021] Microsoft está investigando si este fallo podría afectar a otras versiones de Windows.
Se ha detectado una vulnerabilidad 0-day de severidad crítica que afecta al servicio de cola de impresión de Windows que podría permitir a un ciberatacante realizar una ejecución remota de código.
[Act.02/07/2021] En primer lugar, hay que determinar si el servicio Print Spooler (cola de impresión) se está ejecutando. Para ello, tendremos que ejecutar este comando como administrador de dominio: «Get - Service - Name Spooler» que nos dirá si la cola de impresión se está ejecutando o si el servicio no está desactivado.
Como primera medida de mitigación se recomienda parar y desactivar el servicio de cola de impresión en los sistemas afectados y que hagan uso de este servicio, ya que siempre se encuentra activado por defecto. Esta medida impide la impresión en local y como servidor de impresión.
[Act.02/07/2021] Otra opción para bloquear ataques remotos consiste en deshabilitar la siguiente política en: «Configuración del equipo / Plantillas administrativas / Impresoras». Deshabilitar la política: «Permitir que la cola de impresión acepte conexiones de clientes». La impresora dejará de aceptar peticiones como servidor de impresión, permitiendo solo la impresión desde dispositivos directamente conectados.
[Act. 07/07/2021] Microsoft ha publicado actualizaciones para solucionar la vulnerabilidad en algunos de los sistemas operativos afectados. Los sistemas operativos Windows 10 versión 1607, Windows Server 2012 y 2016, no han recibido actualización de seguridad de momento. Microsoft indica que éstas estarán disponibles lo antes posible.
Recuerda la importancia de mantener tus sistemas y aplicaciones siempre actualizados:
- Política de actualizaciones de software
- Minimiza los riesgos de un ataque: ¡actualiza el software!
- Buenas prácticas en el área de informática
- Evalúa los riesgos de tu empresa en tan solo 5 minutos
¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines, al canal de Telegram @ProtegeTuEmpresa, al perfil de twitter @ProtegeEmpresa o síguenos en Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición la Línea gratuita de Ayuda en Ciberseguridad de INCIBE en el teléfono 017, a través de nuestros canales de mensajería instantánea en WhatsApp (900 116 117) y Telegram (@INCIBE017) o mediante el formulario web.
La vulnerabilidad publicada utiliza la función RpAddPrinterDriverEx(), utilizada para instalar el controlador de la impresora en el sistema, para permitir a un ciberatacante autenticado de forma remota ejecutar código arbitrario con privilegios.
Tu soporte tecnológico puede consultar una solución más técnica en el área de avisos de INCIBE CERT.