Agencias, Ciudad de México.- Microsoft ha cogido de una vulnerabilidad que afecta al servicio de cola de impresión de Windows, que todavía no cuenta con un parche que la corrija, y que permite a un cibercriminal ejecutar código remoto con el que acceder a datos o instalar software en el equipo afectado.
PrintNightmare es el nombre de la vulnerabilidad descubierta por investigadores de Sangfor, quienes informaron a Microsoft de su presencia en el servicio de cola de impresión de Windows. Sin embargo, y en lo que se entiende como un error de comunicación, también publicaron una prueba de concepto (PoC) del ‘exploit’ con el que aprovechar dicha vulnerabilidad, que fue eliminada al poco tiempo.
We deleted the POC of PrintNightmare. To mitigate this vulnerability, please update Windows to the latest version, or disable the Spooler service. For more RCE and LPE in Spooler, stay tuned and wait our Blackhat talk. https://t.co/heHeiTCsbQ
— zhiniang peng (@edwardzpeng) June 29, 2021
Esta vulnerabilidad, recogida en su web con él código CVE-2021-34527, permite a un atacante la ejecución de código remoto con elevación de privilegios del sistema, lo que le permitiría no solo instalar programas, sino también acceder a datos, modificarlos o eliminarlos, e incluso crear nuevas cuentas de usuario con todos los privilegios.
La compañía tecnológica indica que se trata de una situación “en evolución”, que están actualmente investigando, y aunque no hay por el momento un parche que corrija esta vulnerabilidad, insta a comprobar si los usuarios han instalado la actualización de seguridad distribuida el pasado 8 de junio.
El Servicio de Cola de Impresión se ejecuta por defecto en Windows, la empresa recomienda desactivar el servicio (si esto es una opción para la empresa), o desactivar la impresión remota a través del Editor de Directivas de Grupo. Otras recomendaciones incluyen desactivarlo en Controladores de Dominio y sistemas que no imprimen.
La vulnerabilidad existía desde antes de junio de 2021, por lo que Microsoft recomienda instalar las actualizaciones de seguridad de junio en todas las versiones de Windows con soporte. La empresa sabe que el código de la vulnerabilidad existe en todas las versiones de Windows, pero están investigando si el bug se puede explotar en todas ella.
Mitigating PrintNightmare (CVE-2021-34527) by removing write access to %windir%System32spooldrivers for user 'SYSTEM'. https://t.co/hdx8mFdgc6
— Claudio Luck (@claudioluck) July 3, 2021
