Hace unos días, PrintNightmare, la vulnerabilidad en el Print Spooler de Microsoft Windows (CVE-2021-34527), que se clasificó como “Baja” en su nivel de criticidad, se actualizó para clasificarse como “Crítica”. La razón de este cambio es una prueba de concepto que se publicó en GitHub y que los atacantes pueden aprovechar para obtener acceso a los Controladores de Dominio.

 

Microsoft ya publicó un parche en junio de 2021, pero no es suficiente para una protección total contra esta vulnerabilidad. Los atacantes aún pueden aprovechar Print Spooler cuando se conectan de forma remota. Este artículo contiene todo lo que necesita saber sobre esta vulnerabilidad y lo que puede hacer (¡y realmente puede!) para mitigarla.

 

BREVE RESUMEN SOBRE LO QUE ES EL PRINTSPOOLER

Print Spooler es el servicio de Microsoft Windows que se utiliza para administrar y monitorear la impresión de archivos. Es uno de los servicios más antiguos de Microsoft y ha tenido pocas actualizaciones desde que se publicó. Print Spooler está habilitado de forma predeterminada en todas las máquinas de Microsoft Windows (servidores y estaciones de trabajo).

 

VULNERABILIDAD PRINTNIGHTMARE

Un atacante que obtenga un acceso mínimo de usuario puede conectarse al Print Spooler (directa o remotamente). Dado que Print Spooler tiene acceso directo al kernel, el atacante puede aprovecharlo para obtener acceso al sistema operativo, ejecutar código remoto con privilegios del sistema y eventualmente atacar el Controlador de Dominio.

 

La mejor manera de mitigar esta vulnerabilidad es desactivar el Print Spooler en cada servidor y/o estación de trabajo sensitivas (como estaciones de trabajo de administradores, estaciones de trabajo con acceso directo a Internet y estaciones de trabajo que no utilizan capacidades de impresión).

 

Según nuestra experiencia, el 90% de los servidores no necesitan Print Spooler para funcionar. Por lo tanto, deshabilitarlo no debería tener ningún impacto en su entorno de producción. Esta es una acción inmediata que puede tomar y que resolverá el 90% de su problema.

 

Encontrar dónde se utiliza Print Spooler no es tan fácil en infraestructuras más grandes y complejas.

 

A continuación, se muestran algunos ejemplos en los que se requiere el Print Spooler en las operaciones:

  1. Al utilizar los servicios de Citrix.
  2. Servidores de fax.
  3. Cualquier aplicación que requiera la impresión virtual o física de PDF, XPS, etc. Por ejemplo, servicios de facturación y aplicaciones de nómina.

Algunos ejemplos en los que el Print Spooler no es necesario, pero está habilitado de forma predeterminada:

  1. Controlador de Dominio y Directorio Activo: el principal riesgo de esta vulnerabilidad se puede neutralizar practicando la higiene cibernética básica. No debería haber ninguna razón para tener la cola de impresión habilitada en los servidores de DC y AD.
  2. Servidores Miembro como SQL, sistema de gestión de archivos y servidores Exchange.
  3. Cualquier tipo de máquina que no necesite imprimir.

 

Es fácil ver por qué debería deshabilitar inmediatamente Print Spooler en la mayoría de sus máquinas. Pero ¿hay algo que hacer para minimizar la superficie de ataque en las máquinas que requieren Print Spooler para funcionar? ¡Definitivamente, sí!

 

CÓMO MINIMIZAR LA SUPERFICIE DE ATAQUE DEL SPOOLER DE IMPRESIÓN

  1. Considere utilizar servicios de cola de impresión que no sean de Microsoft para reemplazar el protocolo vulnerable.
  2. Restrinja el acceso de los usuarios y controladores a la cola de impresión solo a los grupos que deben usarla, cambiando la política “Permitir que la cola de impresión acepte conexiones de clientes”.
  3. Desactive los llamados a la cola de impresión en el grupo de compatibilidad anterior a Windows 2000.
  4. Asegúrese de que Point&Print no esté configurado a Sin Advertencia – verifique la clave de registro SOFTWARE / Policies / Microsoft / Windows NT / Printers / PointAndPrint / NoElevationOnInstall tenga el valor 1 en DWORD.
  5. Desactive EnableLUA – compruebe la clave de registro SOFTWARE / Microsoft / Windows / CurrentVersion / Policies / System / EnableLUA tenga el valor 0 en DWORD.

 

¿Qué debe hacer a continuación para asegurarse de que su organización sea segura?

  1. Mapee su red para ver donde se esté utilizando Print Spooler.
  2. Mapee su red para identificar las máquinas que deben usar Print Spooler.
  3. Para máquinas que no utilizan Print Spooler: desactívelo.
  4. Para máquinas que utilizan Print Spooler, configúrelo para minimizar su superficie de ataque.

 

Recomendamos enfáticamente el uso de una herramienta de automatización de hardening para implementar esas recomendaciones. De lo contrario, invertirá horas en intentar implementarlos y puede seguir siendo vulnerable al final del proceso o causar interrupciones en la actividad de las servidores y estaciones de trabajo.

 

Una herramienta de automatización de endurecimiento descubrirá dónde tiene habilitado Print Spooler, dónde realmente lo necesita y lo deshabilitará o reconfigurará automáticamente después de que elija su curso de acción.

You might be interested