¿Qué esta pasando? ¿Qué deberías hacer?

Si bien parecía que la protagonista de la seguridad cibernética de julio sería Kaseya, ahora parece que tendrá que compartir espacio con PrintNightmare. una vulnerabilidad crítica ubicada en la cola de impresión de Windows. La estadounidense CISA (Cybersecurity & Infrastructure Security Agency) emitió un comunicado en el que informaba al respecto, y desde entonces ha seguido circulando información al respecto. Información que, en ocasiones, incluso puede parecer contradictoria.

Y eso es normal, por supuesto, ya que A lo largo de los días se han realizado nuevas investigaciones., lo que hizo que la apreciación de la peligrosidad de PrintNightmare aumentara considerablemente, hasta el punto de que incluso vimos cómo, después de haber asignado un primer CVE, era necesario utilizar un segundo identificador ampliando la definición de esta amenaza, esto que generó aún más confusión para muchos usuarios. Por tanto, vamos a intentar poner algo de orden en un tema que merece toda nuestra atención.

MS recomienda

Administre sus dispositivos comerciales de manera inteligente Leer

Imprimir línea de tiempo de Nightmare

Principios de junio, Microsoft lanzó CVE-2021-1675 el día 8, titulado "Vulnerabilidad de ejecución remota de código de Windows Print Spooler', es decir, la vulnerabilidad de ejecución remota de código en Windows Print Manager. Nada nos hizo pensar, en ese momento, que su importancia iba a degenerar hasta el presente. En ese momento, parecía una amenaza menor, identificada antes de que fuera explotada y podría abordarse fácilmente. Así que no había necesidad de preocuparse.

Todo cambia, sin embargo, con el cambio de meses. Como informé anteriormente, las principales agencias de seguridad de todo el mundo han comenzado a emitir declaraciones de advertencia sobre una actualización importante de CVE-2021-1675. Mensajes que instan a los usuarios y a las organizaciones públicas y privadas a tomar medidas de inmediato para protegerse de esta amenaza. En este mismo espacio-tiempo, Microsoft ha publicado la vulnerabilidad CVE-2021-34527, que es el apodo de PrintNightmare.

A diferencia de CVE-2021-1675, que recibió una calificación de alto riesgo, PrintNightmare obtuvo su calificación de vulnerabilidad crítica desde el principioporque permite la ejecución remota de código. Desde entonces ha habido varias actualizaciones y Microsoft ha trabajado incansablemente en este tema. Mientras tanto, mientras esperábamos una solución definitiva, también pudimos leer varias recomendaciones para mitigar sus riesgos.

¿Qué es PrintNightmare?

El problema radica en una función de cola de impresión de Windows, más precisamente en RpAddPrinterDriverEx () que, como su nombre indica, permite la instalación de una nueva impresora en el sistema. Y, aunque debería, Print Manager no restringe el acceso a él, por lo que cualquier usuario autenticado, ya sea de forma local o remota, puede usarlo.

¿Y qué hay de malo en que un usuario pueda instalar una impresora de forma remota? ¿Qué hace que PrintNightmare sea tan peligroso? Seguro que ya lo has entendido: cuando hablo de instalar una impresora me refiero a su driver, que un administrador puede instalar incluso si no está firmado y que, como puedes imaginar, puede contener cualquier función maliciosa. De esta manera, un atacante que accede a un sistema y usa RpAddPrinterDriverEx () para ejecutar código malicioso puede elevar sus privilegios, enviar cargas útiles al sistema comprometido e incluso tomar el control total del mismo.

El administrador de impresión es un componente presente en todas las versiones de Windows, por lo que Microsoft indica que cualquier instalación de su sistema operativo es susceptible de ataque utilizando PrintNightmare. Por lo tanto, independientemente de su versión de Windows, su sistema generalmente está expuesto a PrintNightmare y, por lo tanto, debe tomar medidas para protegerse. El problema es que no es tan fácil como debería ser.

¿Cómo protegerse de PrintNightmare?

Aquí llegamos a la madre del cordero, y no es tan simple ni tan sencillo como cabría esperar. Y sí, es posible que hayas leído que ya existe un parche de Microsoft para solucionarlo, pero la verdad es que no es efectivo.

Pero antes de llegar al meollo del asunto, debemos recordar lo que dije al principio, y distinguir entre CVE-2021-1675 y CVE-2021-34527. Para el primero, Microsoft ya ha publicado soluciones que mitigan los riesgos específicos de dicha vulnerabilidad. Sin embargo, estas correcciones no resuelven el problema asociado con CVE-2021-34527.

Por otro lado, Microsoft publicó ayer correcciones para PrintNightmare para varias versiones de Windows, algunas de las cuales ya no son compatibles oficialmente. Son los siguientes:

La mala noticia es que poco después de su lanzamiento, las redes comenzaron a poblarse de mensajes que indicaban que el parche oficial está incompleto y, por lo tanto, PrintNightmare persiste después de su aplicación. Con el riesgo añadido de una falsa sensación de seguridad, por supuesto, ya que muchos usuarios podrían asumir que ya están protegidos, cuando en realidad todavía están expuestos.

Peor aún, oPatch lanzó un parche no oficial que resultó ser efectivo contra PrintNightmare, pero la aplicación de parche oficial de Microsoft mitiga el efecto del desarrollado por 0patch, volviendo el sistema vulnerable nuevamente a un ataque basado en este problema de seguridad:

Microsoft dijo que investigar mensajes relacionados con el problema del parchePor lo tanto, entendemos que en breve se lanzará una nueva versión, en la que se corregirán las deficiencias señaladas en la primera versión.

Durante, Las recomendaciones son no permitir la actualización automática de Windows si se usa el parche opatch, porque con la protección que ofrece, esto ya es suficiente. Otra opción es desactivar los servicios de impresión que no necesita en todos los sistemas. Por ejemplo, los servidores, a menos que estén imprimiendo, por razones de seguridad, deben tener estos servicios desactivados. Y al igual que con los endpoints, exactamente lo mismo, minimice los servicios activos relacionados con la impresión, especialmente si estamos hablando de sistemas desde los que nunca imprime.

Para verificar el estado actual del servicio de cola de impresión, necesitaremos abrir una consola de PowerShell y escribir Get-Service - Cola de nombres en la línea de comando. Como resultado, obtendremos su estado actual. YSi el servicio se muestra o deshabilita, no tendremos que preocuparnos, ya que la puerta PrintNightmare permanece cerrada en este sistema. En caso de que el servicio esté activo, existen dos posibilidades, siempre que no sea un servidor de impresión, en cuyo caso estas medidas no se pueden aplicar porque el servicio dejará de funcionar.

PrintNightmare: ¿que está pasando?  ¿Qué deberías hacer?

El primero es posiblemente el más drástico y Solo podemos usarlo si nunca imprimimos desde este sistema. En la misma consola de Powershell que usamos para comprobar el estado del servicio, tendremos que escribir los siguientes comandos:

Stop-Service -Name spooler -Force

Set-Service -Name Spooler -StartupType deshabilitado

El primero detendrá inmediatamente el servicio de impresión de Windows, mientras que el segundo cambiará su configuración para que no se vuelva a cargar después de reiniciar el sistema. Cuando Microsoft ha lanzado un parche que corrige PrintNightmare de forma permanente, puede volver a habilitarlo con este comando;

Set-Service -Name spooler -StartupType habilitado

De esta forma, después de reiniciar el sistema, podrá imprimir normalmente desde ese sistema.

El segundo método es deshabilitar solo la función del servidor de impresión del sistema. Esto aún le permitirá imprimir desde él, pero ya no tendrá la función de servidor de impresión para otras computadoras y dispositivos en la red. Para ello, deberá acceder al Editor de políticas de grupo local y, en él, navegar hasta Política de equipo local> Configuración del equipo> Plantillas administrativas> Impresorasy busca la entrada Permitir que Print Job Manager acepte conexiones de clientes.

Luego haga doble clic en él y verifique su estado, que debe estar deshabilitado para evitar los riesgos de PrintNightmare. Entonces, si está en No configurado o habilitado, cambie este valor y reinicie el sistema.

Ya instalé el parche de Microsoft para PrintNightmare

Cuando leas esto, es posible que ya hayas instalado el parche oficial de Microsoft, o incluso es posible que esta acción se haya realizado de forma automática. El problema es que, en si, no resuelve el problema de PrintNightmare. En este caso, deberá realizar un cambio en el registro de configuración de Windows.. La forma más rápida de hacerlo es abrir una consola (símbolo del sistema) y escribir el siguiente comando:

"HKEY_LOCAL_MACHINE Software Policies Microsoft Windows NT Printers PointAndPrint" / v RestrictDriverInstallationToAdministrators / t REG_DWORD / d 1 / f

PrintNightmare: ¿que está pasando?  ¿Qué deberías hacer?

Transcríbalo exactamente como se indica, incluidas las citas o, si lo va a hacer en la computadora en la que está leyendo esto, puede copiarlo y pegarlo. Tenga en cuenta que aunque está dividido debido a su longitud, es solo un comando. Esto evitará la instalación de controladores de impresora no firmados, incluso por cuentas con privilegios de administrador del sistema, que es precisamente de lo que se beneficia PrintNightmare.

¿Con esto ya estaré seguro?

En principio, estas medidas deberían aportar ya el nivel de seguridad necesario, aunque es cierto que todavía habrá que esperar a que Microsoft publique una solución definitiva, ya sea como parche independiente o en el parche del martes de la semana que viene. Además, y muy importante, debes tener en cuenta que estas soluciones previenen ataques a tu aplicación, pero no resuelven los problemas que puedan haber ocurrido antes, por lo que Después de aplicar el parche a PrintNightmare, realice una verificación de seguridad en los sistemas que pueden haber sido afectados, es decir, casi cualquier sistema con Windows.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir