Solución
- ¿Qué es PrintNightmare?
- ¿ESET me protege de PrintNightmare?
- Instalar actualización de seguridad fuera de banda
- Últimas actualizaciones
¿Qué es PrintNightmare?
ESET comenzó a recibir consultas acerca de la ejecución remota del código Windows PrintNightmare (RCE) (CVE-2021-34527 / CVE-2021-1675) el 2 de julio de 2021,
PrintNightmare es una Ejecución remota de código (RCE) rastreada como CVE-2021-34527 / CVE-2021-1675. La vulnerabilidad impacta en Print Spooler (spoolsv.exe).
¿ESET me protege de PrintNightmare?
ESET se encuentra investigando posibles opciones para detectar cuándo ocurre el uso de la RCE de PrintNightmare. Todos los usuarios deberían asegurarse de que los puertos SMB (135-139, 445) no se encuentren expuestos a Internet.
Recomendamos que implemente una de las siguientes mitigaciones hasta que Microsoft lance un parche actualizado.
Deshabilitar el servicio Spooler
- Abra una sesión de Administrador de Powershell.
- Ingrese la siguiente línea y presione Enter.
Stop-Service Spooler - Ingrese la siguiente línea y presione Enter.
Reg Add "HKLM\SYSTEM\CurrentControlSet\Services\Spooler" /v "Start" /t REG_DWORD /d "4" /f
Luego de que se lance el parche de Microsoft puede habilitar el servicio spooler o instalar el servicio de impresión.
Habilite el servicio spooler
- Abra una sesión de Administrador de Powershell.
- Ingrese la siguiente línea y presione Enter.
Reg Add "HKLM\SYSTEM\CurrentControlSet\Services\Spooler" /v "Start" /t REG_DWORD /d "2" /f - Ingrese la siguiente línea y presione Enter.
Start-Service Spooler
Microsoft recomienda instalar la actualización de seguridad fuera de banda
En base a su sistema operativo, válgase de las instrucciones indicadas en el enlace correspondiente para instalar la actualización de seguridad fuera de banda.
- Windows 10, versión 21H1 (KB5004945)
- Windows 10, versión 20H2 (KB5004945)
- Windows 10, versión 2004 (KB5004945)
- Windows 10, versión 1909 (KB5004946)
- Windows 10, versión 1809 y Windows Server 2019 (KB5004947)
- Windows 10, versión 1803 (KB5004949) [aún no disponible]
- Windows 10, versión 1507 (KB5004950)
- Windows 8.1, y Windows Server 2012 (Monthly Rollup KB5004954 / Security only KB5004958)
- Windows 7 SP1 y Windows Server 2008 R2 SP1 (Monthly Rollup KB5004953 / Security only KB5004951)
- Windows Server 2008 SP2 (Monthly Rollup KB5004955 / Security only KB5004959)
Últimas novedades
Las actualizaciones de seguridad para Windows Server 2012, Windows Server 2016 y Windows 10, Version 1607 han sido lanzadas. Recomendamos que installe tales actualizaciones inmediatamente.
Con el objetivo de garantizar la seguridad de su sistema, confirme que las siguientes entradas del registro se encuentran asociadas la valor 0 (cero) o no se encuentran definidas (Nota: estas claves de registro no existen de modo predeterminado, por lo que ya se encuentran presentes en el ajuste seguro).
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
- NoWarningNoElevationOnInstall = 0 (DWORD) o no definida (ajuste predeterminado)
- NoWarningNoElevationOnUpdate = 0 (DWORD) o no definida (ajuste predeterminado)
Para conocer más detalles acerca de la actualización de seguridad de Microsoft por favor lea el artículo completo del fabricante.
