La Agencia de Ciberseguridad y Seguridad de Infraestructuras de Estados Unidos (CISA) emitió una advertencia sobre “PrintNightmare” (CVE-2021-34527) una vulnerabilidad que afecta el spooler de impresión en las versiones actuales de Microsoft Windows. Microsoft publicó una actualización de seguridad de emergencia “fuera de banda” para solucionar la vulnerabilidad.
“PrintNightmare” puede permitir a los atacantes ejecutar código de manera remota en cualquier sistema Windows, incluyendo los controladores de dominio. Esto significa que un ataque exitoso podría dar a un atacante el control completo de un sistema vulnerable. Si el sistema fuera un controlador de dominio, tendría el control total de la red, incluyendo la capacidad de crear nuevas cuentas de nivel administrativo en los dominios. Debido a esto, esta vulnerabilidad podría ser utilizada por los atacantes para realizar ataques de tipo APT.
Jan Vojtěšek, investigador de malware de Avast, explica que “La desprotección afecta al spooler de impresión de Microsoft Windows. Este componente ha tenido una serie de vulnerabilidades de seguridad a lo largo de los años y podría permitir a un atacante remoto tomar el control completo de una máquina Windows. También podría ser utilizada por un atacante para obtener más privilegios en una máquina a la que ya tiene algún acceso limitado. Desgraciadamente, incluso los usuarios comunes corren el riesgo de que esto ocurra y por eso les recomendamos que apliquen el parche lo antes posible.”
Existen algunos informes que afirman que el parche no soluciona completamente la vulnerabilidad; sin embargo, la recomendación es aplicar el parche: algo de protección es mejor que ninguna. Si Microsoft cambia sus directrices oficiales, los usuarios deben realizar los ajustes para seguir esas directrices actualizadas. Pero por ahora, Microsoft sigue instando a la gente a aplicar estos parches.
Christopher Budd, Director de Comunicaciones de Amenazas Globales, comenta sobre la actualización de seguridad: “Microsoft ha publicado este parche fuera de banda, lo que indica la seriedad con la que se están tomando esta situación. Hay un código de prueba disponible públicamente, esta vulnerabilidad pone en riesgo todos los sistemas Windows y hay un riesgo significativo para los controladores de dominio. Debido a todos estos factores, todo el mundo debería moverse para probar y desplegar esta actualización de seguridad lo antes posible.”
Microsoft también tiene parches a disposición para las versiones de Windows que no son compatibles. Cualquier persona que ejecute una versión de Windows fuera de soporte, debe aplicar estas actualizaciones. Sin embargo, estar en una versión de Windows fuera de soporte, pone a la gente en riesgo de muchas otras vulnerabilidades graves sin parches, y cualquier persona en una versión de Windows fuera de soporte debe migrar a una versión soportada tan pronto como sea posible.
Aquellos que quieran tomar precauciones adicionales pueden desactivar el servicio de cola de impresión mientras tanto. Esto puede hacerse abriendo la pestaña Servicios en la Configuración del Sistema, desmarcando Print Spooler, haciendo clic en Aceptar y reiniciando el ordenador. Sin embargo, esto también podría limitar la capacidad de los usuarios para utilizar la impresora. Los clientes de Windows deberían considerar la posibilidad de desactivar el spooler de impresión y estar preparados para desplegar una actualización de seguridad tan pronto como esté disponible.