Tecnología

Microsoft comparte mitigaciones para Windows PrintNightmare zero-day bug

Microsoft comparte mitigaciones para Windows PrintNightmare zero-day bug

Microsoft ha proporcionado una guía de mitigación para bloquear ataques en sistemas vulnerables a exploits dirigidos a la vulnerabilidad de día cero de Windows Print Spooler conocida como PrintNightmare.

Este error de ejecución remota de código (RCE), ahora registrado como CVE-2021-34527, afecta a todas las versiones de Windows según Microsoft, y la compañía aún investiga si la vulnerabilidad es explotable en todas ellas.

CVE-2021-34527 permite a los atacantes hacerse cargo de los servidores afectados mediante la ejecución remota de código con privilegios del SISTEMA, ya que les permite instalar programas, ver, cambiar o eliminar datos y crear nuevas cuentas con derechos de usuario completos.

En explotación activa

La compañía agregó en un recién lanzado aviso de seguridad que PrintNightmare ya ha sido explotado en la naturaleza. Microsoft no compartió quién está detrás de la explotación detectada (actores de amenazas o investigadores de seguridad).

Sin embargo, en un informe de análisis de amenazas separado para los clientes de Microsoft 365 Defender visto por BleepingComputer, Microsoft dice Los atacantes están explotando activamente el día cero de Print Nightmare.

Por el momento, no hay actualizaciones de seguridad disponibles para abordar el día cero de PrintNightmare, con Microsoft investigando el problema y trabajando en una solución.

Microsoft también eliminó la confusión en torno al error diciendo que «es similar pero distinta de la vulnerabilidad a la que se le asigna CVE-2021-1675», que fue parcheada en junio.

Medidas de mitigación disponibles

Si bien no ha publicado actualizaciones de seguridad para abordar esta falla, Microsoft proporciona medidas de mitigación para evitar que los atacantes se apoderen de los sistemas vulnerables.

Las opciones disponibles incluyen deshabilitar el servicio Print Spooler para eliminar la capacidad de impresión de forma local y remota, o deshabilitar la impresión remota entrante a través de la Política de grupo para eliminar el vector de ataque remoto bloqueando las operaciones de impresión remota entrante.

En el segundo caso, Microsoft dice que «el sistema ya no funcionará como un servidor de impresión, pero la impresión local en un dispositivo conectado directamente seguirá siendo posible».

Para mitigar la vulnerabilidad, debe seguir uno de los dos procedimientos siguientes:

Opción 1: desactivar el servicio de cola de impresión

Si deshabilitar el servicio de cola de impresión es apropiado para su empresa, use los siguientes comandos de PowerShell:

Stop-Service -Name Spooler -Force

Set-Service -Name Spooler -StartupType Disabled

Opción 2: deshabilitar la impresión remota entrante a través de la directiva de grupo

También puede configurar los ajustes a través de la Política de grupo de la siguiente manera: Computer Configuration / Administrative Templates / Printers

Deshabilite la política «Permitir que la cola de impresión acepte conexiones de cliente:» para bloquear ataques remotos.

CISA también aconseja deshabilitar el servicio Print Spooler

En noticias relacionadas, CISA también ha emitido una notificación sobre el día cero de PrintNightmare animando a los administradores a deshabilitar el servicio de cola de impresión de Windows en los servidores. no se utiliza para imprimir.

Según las recomendaciones anteriores de Microsoft sobre cómo mitigar los riesgos en Controladores de dominio con el servicio de cola de impresión en ejecución, el servicio debe desactivarse en todos los controladores de dominio y sistemas de administración de Active Directory a través de un objeto de política de grupo debido a la mayor exposición a los ataques.

Dado que este servicio está habilitado de forma predeterminada en la mayoría de los clientes y plataformas de servidor de Windows, el riesgo de futuros ataques dirigidos activamente a sistemas vulnerables es significativo.

Hasta que Microsoft publique las actualizaciones de seguridad de PrintNightmare, implementar las mitigaciones enumeradas anteriormente es la forma más fácil de garantizar que los actores de amenazas, y los grupos de ransomware en particular, no aprovechen la ocasión para violar su red.

Actualización: se agregó información sobre la explotación activa de PrintNightmware.

Leave a Comment

You may also like

Más