Notificación de Vulnerabilidad Crítica | Windows Print Spooler

Existe una vulnerabilidad de ejecución remota de código cuando el servicio de cola de impresión de Windows realiza incorrectamente operaciones con archivos privilegiados. Un atacante que aprovechara con éxito esta vulnerabilidad podría ejecutar código arbitrario con privilegios de SISTEMA. Entonces, un atacante podría instalar programas; ver, cambiar o eliminar datos; o cree nuevas cuentas con todos los derechos de usuario.

ACTUALIZACIÓN 7 de Julio de 2021: se lanzó la actualización de seguridad para Windows Server 2012, Windows Server 2016 y Windows 10, versión 1607. Consulte la tabla de Actualizaciones de seguridad para conocer la actualización correspondiente a su sistema. Le recomendamos que instale estas actualizaciones inmediatamente. Tenga en cuenta que las actualizaciones de seguridad publicadas a partir del 6 de julio de 2021 contienen protecciones para CVE-2021-1675 y el exploit de ejecución remota de código adicional en el servicio Windows Print Spooler conocido como “PrintNightmare“, documentado en CVE-2021-34527.

Además de instalar las actualizaciones, para proteger su sistema, debe confirmar que las siguientes configuraciones de registro están establecidas en 0 (cero) o no están definidas (Nota : estas claves de registro no existen de forma predeterminada y, por lo tanto, ya están en la configuración segura), también que la configuración de la directiva de grupo es correcta.

  1. HKEY_LOCAL_MACHINE \ SOFTWARE \ Políticas \ Microsoft \ Windows NT \ Printers \ PointAndPrint
  2. NoWarningNoElevationOnInstall = 0 (DWORD) o no definido (ajuste predeterminado)
  3. UpdatePromptSettings = 0 (DWORD) o no definido (ajuste predeterminado)

Tener NoWarningNoElevationOnInstall establecido en 1 hace que su sistema sea vulnerable por diseño.

Microsoft ha liberado las actualizaciones CVE-2021-34527 / CVE-2021-1675 y es importante que verifiquen que estén instalas en sus equipos, sin embargo, y aunque Microsoft ha publicado que sus parches eliminan al 100% esta vulnerabilidad, G Data por su parte, y en su análisis al día de hoy no ha podido comprobar que estos parches mitiguen al 100% dicha vulnerabilidad, por lo que adicionalmente G Data ha compartido algunas alternativas para limitar el acceso a esta vulnerabilidad en complemento a dichas actualizaciones, las cuales son las siguientes:

-Los puertos SMB (135-139, 445) tienen que estar bloqueados en la conexión expuesta a internet mediante reglas en el firewall de G Data o perimetral.

-Para los equipos más sensibles ante esta vulnerabilidad, por ejemplo: Controladores de Domino, Base de Datos, ERP, etc. se recomienda deshabilitar el servicio de spooler, por lo menos hasta que G Data garantice que Microsoft por medio un parche haga corrección de esta vulnerabilidad al 100%, esta acción le impedirá imprimir documentos:

Opción 1: deshabilitar el servicio de cola de impresión

Si deshabilitar el servicio de cola de impresión es apropiado para su empresa, abrir una sesión de Administrador de PowerShell, ingrese la siguiente línea y presione Enter:

Stop-Service Spooler

Ingrese la siguiente línea y presione Enter:

Reg Add “HKLM\SYSTEM\CurrentControlSet\Services\Spooler” /v “Start” /t REG_DWORD /d “4” /f 

Luego de que se lance el parche de Microsoft puede habilitar el servicio spooler de la siguiente forma:

  1. Abrir una sesión de Administrador de PowerShell, ingrese la siguiente línea y presione Enter:

Start-Service Spooler

Ingrese la siguiente línea y presione Enter:


Reg Add “HKLM\SYSTEM\CurrentControlSet\Services\Spooler” /v “Start” /t REG_DWORD /d “2” /f

NOTA: Es importante realizar lo antes mencionado con privilegios de Administrador de lo contrario les mostrara el siguiente error:

Opción 2: deshabilitar la impresión remota entrante a través de la directiva de grupo

También puede configurar los ajustes a través de la Política de grupo de la siguiente manera:

Configuración de la computadora / Plantillas administrativas / Impresoras

Deshabilite la política “Permitir que la cola de impresión acepte conexiones de cliente:” para bloquear ataques remotos. Se debe reiniciar el servicio de cola de impresión para que la política de grupo surta efecto.

Impacto de la solución alternativa Esta política bloqueará el vector de ataque remoto al evitar las operaciones de impresión remota entrantes. El sistema ya no funcionará como servidor de impresión, pero la impresión local en un dispositivo conectado directamente seguirá siendo posible.

Enlace: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527, https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-34527 Blog de G DATA