[ALERT8081] Ejecución remota del código Windows PrintNightmare (RCE) (CVE-2021-34527 / CVE-2021-1675)

Detalles

¿Qué es PrintNightmare?

ESET comenzó a recibir consultas acerca de la ejecución remota del código Windows PrintNightmare (RCE) (CVE-2021-34527 / CVE-2021-1675) el 2 de julio de 2021, 
 
PrintNightmare es una Ejecución remota de código (RCE) rastreada como CVE-2021-34527 / CVE-2021-1675. La vulnerabilidad impacta en Print Spooler (spoolsv.exe).
 

¿ESET me protege de PrintNightmare?

ESET se encuentra investigando posibles opciones para detectar cuándo ocurre el uso de la RCE de PrintNightmare. Todos los usuarios deberían asegurarse de que los puertos SMB (135-139, 445) no se encuentren expuestos a Internet.

Recomendamos que implemente una de las siguientes mitigaciones hasta que Microsoft lance un parche actualizado. 

La mitigación impedirá la posibilidad de imprimir

Tenga en cuenta que realizar los pasos de mitigación impedirán que pueda imprimir.

Deshabilitar el servicio Spooler
  1. Abra una sesión de Administrador de Powershell.

  2. Ingrese la siguiente línea y presione Enter.

    Stop-Service Spooler

  3. Ingrese la siguiente línea y presione Enter.

    Reg Add "HKLM\SYSTEM\CurrentControlSet\Services\Spooler" /v "Start" /t REG_DWORD /d "4" /f  


Luego de que se lance el parche de Microsoft puede habilitar el servicio spooler o instalar el servicio de impresión.
Habilite el servicio spooler
  1. Abra una sesión de Administrador de Powershell. 

  2. Ingrese la siguiente línea y presione Enter.

    Reg Add "HKLM\SYSTEM\CurrentControlSet\Services\Spooler" /v "Start" /t REG_DWORD /d "2" /f

  3. Ingrese la siguiente línea y presione Enter.

    Start-Service Spooler

Microsoft recomienda instalar la actualización de seguridad fuera de banda

Actualización fuera de banda

Los siguientes parches fueron lanzados por Microsoft el 6 de julio de 2021 y no eliminan completamente la explotabilidad PrintNightmare, pero sí reducen algunas de las vulnerabilidades. Hasta que Microsoft lance un nuevo parche los sistemas operativos permanecerán vulnerables a PrintNightmare.

En base a su sistema operativo, válgase de las instrucciones indicadas en el enlace correspondiente para instalar la actualización de seguridad fuera de banda.


Últimas novedades

Las actualizaciones de seguridad para Windows Server 2012, Windows Server 2016 y Windows 10, Version 1607 han sido lanzadas. Recomendamos que installe tales actualizaciones inmediatamente

Con el objetivo de garantizar la seguridad de su sistema, confirme que las siguientes entradas del registro se encuentran asociadas la valor 0 (cero) o no se encuentran definidas (Nota: estas claves de registro no existen de modo predeterminado, por lo que ya se encuentran presentes en el ajuste seguro).

  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
  • NoWarningNoElevationOnInstall = 0 (DWORD) o no definida (ajuste predeterminado)
  • NoWarningNoElevationOnUpdate = 0 (DWORD) o no definida (ajuste predeterminado)
Para conocer más detalles acerca de la actualización de seguridad de Microsoft por favor lea el artículo completo del fabricante

Asistencia adicional