Microsoft les dice a los usuarios que apaguen la impresora en cola para protegerse contra la explotación de día cero

Microsoft ha emitido una serie de medidas de mitigación contra una explotación de día cero que, según la compañía tecnológica, "los atacantes están explotando activamente".

El exploit de día cero, conocido como Imprimir Pesadilla, aprovecha una vulnerabilidad en Windows Print Spooler y podría permitir que un atacante ejecute código de forma remota.

Si bien no existe una solución específica para PrintNightmare, el aviso de Microsoft contiene dos opciones que los usuarios pueden implementar para proteger su sistema contra la vulnerabilidad potencialmente peligrosa.

PrintNightmare es el trabajo de impresión del infierno

La cola de impresión es un servicio de software de Windows que administra los procesos de impresión de su sistema. Cuando presiona imprimir, el spooler toma el trabajo de impresión entrante del software (o sistema operativo) y asegura que la impresora y sus recursos (papel, tinta, etc.) estén listos para la acción. Cuando envía varios trabajos de impresión, la cola de impresión los pone en cola y administra la salida de la impresora.

El servicio de cola de impresión tiene acceso a todo el sistema. Si bien suena inofensivo, puede convertir dicho servicio en un objetivo para los atacantes que buscan atacar recursos con privilegios en todo el sistema.

En este caso, la empresa de seguridad china Sangfor publicó accidentalmente un exploit de prueba de concepto para un ataque de día cero a su página de GitHub. La compañía inmediatamente sacó el código, pero no antes de que se bifurcara y se copiara en la naturaleza.

PrintNightmare, seguido como CVE-2021-34527, es una vulnerabilidad de ejecución remota de código. Esto significa que si un atacante aprovechara la vulnerabilidad, teóricamente podría ejecutar código malicioso en un sistema de destino. Si bien usted puede ser el objetivo principal de un exploit de este tipo, miles de millones de computadoras y servidores en todo el mundo usan Microsoft Print Spooler, razón por la cual PrintNightmare está causando tales problemas.

Relacionados: El mejor software antivirus gratuito

Microsoft aconseja con cautela la desactivación del servicio de cola de impresión

Hasta que se encuentre una solución específica, Microsoft aconseja usuarios, empresas y organizaciones para deshabilitar el servicio de cola de impresión en cualquier servidor que no lo requiera.

Hay dos formas en que las organizaciones pueden deshabilitar el servicio de cola de impresión: a través de PowerShell o mediante la directiva de grupo.

Potencia Shell

1. Abierto Potencia Shell.
2. Aporte Stop-Service -Name Spooler -Force
3. Aporte Set-Service -Name Spooler -StartupType deshabilitado

Política de grupo

1. Abre el Editor de políticas de grupo(gpedit.msc)
2. Navega a Configuración de la computadora / Plantillas administrativas / Impresoras
3. Busque el Permitir que Print Spooler acepte conexiones de cliente política
4. Ajustado a Desactivar> Aplicar

Microsoft no es la única organización que aconseja a los usuarios que desactiven los servicios de cola de impresión siempre que sea posible. CISA también liberado una declaración que aconseja una política similar, que anima a "los administradores a deshabilitar el servicio de cola de impresión de Windows en los controladores de dominio y los sistemas que no imprimen".

Aunque Microsoft está volviendo a emitir este consejo con respecto a PrintNightmare, la compañía aconseja esta política en todo momento para protegerse contra intrusiones inesperadas a través de este método. Desactivar el servicio Print Spool mediante una directiva de grupo es la mejor manera de garantizar la seguridad en todo el dominio.

Comprensión del malware: 10 tipos comunes que debe conocer

Obtenga información sobre los tipos comunes de malware y sus diferencias, para que pueda comprender cómo funcionan los virus, troyanos y otro malware.

Leer siguiente

Sobre el Autor