Clicky

Cómo mitigar la vulnerabilidad de la cola de impresión de Microsoft - PrintNightmare

Vulnerabilidad de la cola de impresión de Microsoft

Deshabilita el servicio de cola de impresión en Windows 10

Esta semana, PrintNightmare: la vulnerabilidad Print Spooler de Microsoft (CVE-2021-34527) se actualizó de una criticidad 'Baja' a una criticidad 'Crítica'.

Esto se debe a una prueba de concepto publicada en GitHub, que los atacantes podrían aprovechar para obtener acceso a los Controladores de Dominio.

Como informamos ayer, Microsoft ya lanzó un parche en junio de 2021, pero no fue suficiente para detener los exploits. Los atacantes aún pueden usar Print Spooler cuando se conectan de forma remota. Puedes encontrar todo lo que necesitas saber sobre esta vulnerabilidad en este artículo y cómo puedes mitigarla (y puedes hacerlo).

Print Spooler en pocas palabras: Print Spooler es el servicio de Microsoft para administrar y monitorear la impresión de archivos. Este servicio se encuentra entre los más antiguos de Microsoft y desde su lanzamiento ha tenido mínimas actualizaciones de mantenimiento.

Todas las máquinas de Microsoft (servidores y puntos finales) tienen esta función habilitada de forma predeterminada.

Vulnerabilidad de PrintNightmare: tan pronto como un atacante obtenga acceso de usuario limitado a una red, podrá conectarse (directa o remotamente) a Print Spooler. Dado que Print Spooler tiene acceso directo al kernel, el atacante puede usarlo para obtener acceso al sistema operativo, ejecutar código remoto con privilegios del sistema y, en última instancia, atacar al Controlador de Dominio.

La mejor opción cuando se trata de mitigar la vulnerabilidad PrintNightmare es deshabilitar la cola de impresión en cada servidor y/o estación de trabajo sensible (como estaciones de trabajo de administradores, estaciones de trabajo con acceso directo a Internet y estaciones de trabajo que no imprimen).

Esto es lo que sugiere Dvir Goren, experto en endurecimiento y CTO de CalCom Software Solutions, como primer paso hacia la mitigación.

Sigue estos pasos para deshabilitar el servicio de cola de impresión en Windows 10:

• Abrir inicio.
• Busca PowerShell, haz clic derecho sobre él y selecciona Ejecutar como administrador.
• Escribe este comando y presiona Enter: Stop-Service -Name Spooler -Force
• Utiliza este comando para evitar que el servicio se inicie de nuevo durante el reinicio: Set-Service -Name Spooler -StartupType Disabled

Según la experiencia de Dvir, el 90% de los servidores no requieren Print Spooler. Es la configuración predeterminada para la mayoría de ellos, por lo que generalmente está habilitada. Como resultado, deshabilitarlo puede resolver el 90% del problema y tener poco impacto en la producción.

En infraestructuras grandes y complejas, puede resultar complicado localizar dónde se utiliza Print Spooler.

A continuación, se muestran algunos ejemplos en los que se requiere la cola de impresión:

• Al utilizar los servicios de Citrix,
• Servidores de fax,
• Cualquier aplicación que requiera la impresión física o virtual de PDF, XPS, etc. Servicios de facturación y aplicaciones salariales, por ejemplo.

A continuación, se muestran algunos ejemplos en los que no es necesaria la cola de impresión, pero está habilitada de forma predeterminada:

•Controlador de Dominio y Active Directory: el principal riesgo de esta vulnerabilidad se puede neutralizar practicando la higiene cibernética básica. No tiene sentido tener la cola de impresión habilitada en los servidores DC y AD.
• Servidores miembro como SQL, Sistema de archivos y servidores Exchange.
• Máquinas que no requieren impresión.

Algunos otros pasos de refuerzo sugeridos por Dvir para máquinas que dependen de Print Spooler incluyen:

•Reemplazar el protocolo de cola de impresión vulnerable con un servicio que no sea de Microsoft.
• Al cambiar "Permitir que el administrador de trabajos de impresión acepte conexiones de clientes", puede restringirse el acceso de usuarios y controladores al administrador de trabajos de impresión a los grupos que deben usarlo.
• Desactivar la persona que llama a la cola de impresión en el grupo de compatibilidad anterior a Windows 2000.
• Asegurarse de que Point and Print no esté configurado para Sin advertencia: verificar la clave de registro SOFTWARE/Policies/Microsoft/Windows NT/Printers/PointAndPrint/NoElevationOnInstall for DWORD de valor 1 y cámbialo a 0.
• Desactivar EnableLUA: comprueba la clave de registro SOFTWARE/Microsoft/Windows/CurrentVersion/Policies/System/EnableLUA para el valor DWORD 0 y cámbialo a 1.

Esto es lo que debes hacer a continuación para asegurarte de que tu organización sea segura:

• Identificar dónde se está utilizando Print Spooler en tu red.
• Mapear tu red para encontrar las máquinas que deben usar Print Spooler.
• Desactivar Print Spooler en máquinas que no lo utilicen.
• Para máquinas que requieren Print Spooler, configúralas de manera que minimicen su superficie de ataque.

Además de esto, para encontrar evidencia potencial de explotación, también debe monitorearse las entradas de registro de Microsoft-Windows-PrintService/Admin. Es posible que haya entradas con mensajes de error que indiquen que Print Spooler no puede cargar las DLL del módulo de complemento, aunque esto también puede suceder si un atacante empaquetó una DLL legítima que Print Spooler exige.

La recomendación final de Dvir es implementar estas recomendaciones a través de herramientas de automatización reforzadas. Sin la automatización, pasarás innumerables horas intentando endurecerte manualmente y puedes terminar vulnerable o hacer que los sistemas se caigan.

Después de elegir tu curso de acción, una herramienta de automatización de reforzada descubrirá dónde está habilitado Print Spooler, dónde se utiliza realmente, y lo deshabilitará o reconfigurará automáticamente.

Jesus_Caceres