Vulnerabilidad crítica en Print Spooler de Microsoft Windows

Fecha de publicación 01/07/2021
Importancia
5 - Crítica
Recursos Afectados
  • Windows 7, 8.1 
  • [Act. 02/07/2021] Windows 10 (incluyendo 20H2, 2004,1607,1809 y 1909);
  • Windows Server 2008 (incluyendo R2, R2 SP1 y R2 SP2);
  • Windows Server 2012 (incluyendo R2);
  • Windows Server 2016;
  • Windows Server 2019;
  • Windows Server, versión 2004;
  • Windows Server, versión 20H2.

[Act. 02/07/2021] Microsoft está investigando si este fallo podría afectar a otras versiones de Windows.

Descripción

Se ha detectado una vulnerabilidad 0-day de severidad crítica que afecta al servicio de cola de impresión de Windows que podría permitir a un ciberatacante realizar una ejecución remota de código.

Solución

[Act.02/07/2021] En primer lugar, hay que determinar si el servicio Print Spooler (cola de impresión) se está ejecutando. Para ello, tendremos que ejecutar este comando como administrador de dominio: «Get - Service - Name Spooler» que nos dirá si la cola de impresión se está ejecutando o si el servicio no está desactivado.

Como primera medida de mitigación se recomienda parar y desactivar el servicio de cola de impresión en los sistemas afectados y que hagan uso de este servicio, ya que siempre se encuentra activado por defecto. Esta medida impide la impresión en local y como servidor de impresión.

[Act.02/07/2021] Otra opción para bloquear ataques remotos consiste en deshabilitar la siguiente política en: «Configuración del equipo / Plantillas administrativas / Impresoras». Deshabilitar la política: «Permitir que la cola de impresión acepte conexiones de clientes». La impresora dejará de aceptar peticiones como servidor de impresión, permitiendo solo la impresión desde dispositivos directamente conectados.

[Act. 07/07/2021] Microsoft ha publicado actualizaciones para solucionar la vulnerabilidad en algunos de los sistemas operativos afectados. Los sistemas operativos Windows 10 versión 1607, Windows Server 2012 y 2016, no han recibido actualización de seguridad de momento. Microsoft indica que éstas estarán disponibles lo antes posible.

Recuerda la importancia de mantener tus sistemas y aplicaciones siempre actualizados:

¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines, al canal de Telegram @ProtegeTuEmpresa, al perfil de twitter @ProtegeEmpresa o síguenos en Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición la Línea gratuita de Ayuda en Ciberseguridad de INCIBE en el teléfono 017, a través de nuestros canales de mensajería instantánea en WhatsApp (900 116 117) y Telegram (@INCIBE017) o mediante el formulario web.

Detalle


Logo Windows

La vulnerabilidad publicada utiliza la función RpAddPrinterDriverEx(), utilizada para instalar el controlador de la impresora en el sistema, para permitir a un ciberatacante autenticado de forma remota ejecutar código arbitrario con privilegios.

Tu soporte tecnológico puede consultar una solución más técnica en el área de avisos de INCIBE CERT.

Mejoramos contigo. Participa en nuestra encuesta

Línea de ayuda en ciberseguridad 017

Listado de referencias
[Act. 02/07/2021] Windows Print Spooler Remote Code Execution Vulnerability
PrintNightmare, Critical Windows Print Spooler Vulnerability
Microsoft Windows Print Spooler RpcAddPrinterDriverEx() function allows for RCE
Etiquetas