5
(1)

Microsoft divulgado una nueva vulnerabilidad de ejecución remota de código en Windows recientemente que está utilizando Windows Print Spooler. La vulnerabilidad se explota activamente y Microsoft publicó dos soluciones para proteger los sistemas de ataques.

La información proporcionada es insuficiente, ya que Microsoft ni siquiera revela las versiones de Windows que se ven afectadas por el problema de seguridad. Por lo que parece, parece afectar a los controladores de dominio en su mayor parte y no a la mayoría de las computadoras domésticas, ya que requiere usuarios autenticados remotos.

0Parche, que han analizado el parche, sugieren que el problema afecta predominantemente a las versiones de Windows Server, pero que los sistemas Windows 10 y los servidores que no son de DC también pueden verse afectados si se han realizado cambios en la configuración predeterminada:

UAC (Control de cuentas de usuario) está completamente deshabilitado
PointAndPrint NoWarningNoElevationOnInstall está habilitado

El CVE ofrece la siguiente descripción:

Existe una vulnerabilidad de ejecución remota de código cuando el servicio de cola de impresión de Windows realiza incorrectamente operaciones con archivos privilegiados. Un atacante que aprovechara con éxito esta vulnerabilidad podría ejecutar código arbitrario con privilegios de SISTEMA. Entonces, un atacante podría instalar programas; ver, cambiar o eliminar datos; o cree nuevas cuentas con todos los derechos de usuario.

Un ataque debe involucrar a un usuario autenticado que llame a RpcAddPrinterDriverEx ().

Asegúrese de haber aplicado las actualizaciones de seguridad publicadas el 8 de junio de 2021 y consulte las secciones de Preguntas frecuentes y Soluciones en este CVE para obtener información sobre cómo ayudar a proteger su sistema de esta vulnerabilidad.

Microsoft ofrece dos sugerencias: deshabilitar el servicio de cola de impresión o deshabilitar la impresión remota entrante mediante la política de grupo. La primera solución desactiva la impresión, local y remota, en el dispositivo. Puede ser una solución en sistemas en los que no se requiere la funcionalidad de impresión, pero en realidad no es una opción si la impresión se realiza en un dispositivo. Puede alternar la cola de impresión a pedido, pero eso puede convertirse en una molestia rápidamente.

La segunda solución requiere acceso a la Política de grupo, que solo está disponible en las versiones Pro y Enterprise de Windows.

Estas son ambas soluciones:

vulnerabilidad de impresión remota de Windows

Para deshabilitar la cola de impresión, haga lo siguiente:

  1. Abra un indicador de PowerShell elevado, por ejemplo, utilizando Windows-X y seleccionando Windows PowerShell (Administrador).
  2. Ejecute Get-Service -Name Spooler.
  3. Ejecute Stop-Service -Name Spooler -Force
  4. Stop-Service -Name Spooler -Force
  5. Set-Service -Name Spooler -StartupType deshabilitado

El comando (4) detiene el servicio de cola de impresión, el comando (5) lo desactiva. Tenga en cuenta que no podrá imprimir más cuando realice los cambios (a menos que vuelva a habilitar el servicio de cola de impresión.

permitir que la cola de impresión acepte conexiones de cliente

Para deshabilitar la impresión remota entrante, haga lo siguiente:

  1. Abrir inicio.
  2. Escriba gpedit.msc.
  3. Cargue el Editor de políticas de grupo.
  4. Vaya a Configuración del equipo / Plantillas administrativas / Impresoras.
  5. Haga doble clic en Permitir que la cola de impresión acepte conexiones de cliente.
  6. Establezca la política en Desactivada.
  7. Seleccione ok.

0Patch ha desarrollado y publicado un microparche que soluciona el problema de ejecución remota de código de la cola de impresión. El parche se creó solo para Windows Server en ese momento, específicamente Windows Server 2008 R2, Windows Server 2021, Windows Server 2016 y Windows Server 2019.

publicitario

¿Le ha parecido útil este contenido?

¡Haz clic en una estrella para puntuar!

Promedio de puntuación 5 / 5. Recuento de votos: 1

Hasta ahora, ¡no hay votos!. Sé el primero en puntuar este contenido.