LOS HACKERS RUSOS EXPLOTAN LOS PROTOCOLOS MFA Y LA VULNERABILIDAD “PRINTNIGHTMARE” DEL GESTOR DE COLAS DE IMPRESIÓN

LOS HACKERS RUSOS EXPLOTAN LOS PROTOCOLOS MFA Y LA VULNERABILIDAD “PRINTNIGHTMARE” DEL GESTOR DE COLAS DE IMPRESIÓN

3 Minutes Read Updated on May 21, 2025

La Oficina Federal de Investigaciones (FBI) y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) de los Estados Unidos emitieron recientemente un Aviso de Ciberseguridad (CSA) advirtiendo a las organizaciones sobre un ciberataque patrocinado por el estado ruso. Los ciber actores ejecutaron código arbitrario usando privilegios del sistema al explotar una vulnerabilidad “PrintNightmare” de Windows Print Spooler.

 

VULNERABILIDAD DE PRINTNIGHTMARE

El Print Spooler de Microsoft (CVE-2021-34527) es el servicio que permite administrar y monitorear la impresión de archivos y ha tenido pocas actualizaciones de mantenimiento desde su lanzamiento. Una vez que un atacante obtiene acceso limitado de usuario a una red, el actor cibernético podrá conectarse (directa o remotamente) al Print Spooler. En julio de 2021, Microsoft publicó qué explotación de vulnerabilidades es posible y proporcionó la puntuación base para evaluar el componente vulnerable.

ACTIVIDAD DE LOS CIBER ACTORES

Los ciber actores patrocinados por el estado ruso obtuvieron acceso inicial a la organización víctima mediante la explotación de los protocolos MFA predeterminados y una vulnerabilidad conocida, al inscribir un nuevo dispositivo en el Duo MFA de la organización. El uso de un ataque de fuerza bruta para la contraseña permitió a los actores cibernéticos obtener acceso a la cuenta de la víctima usándola para acceder al sistema operativo y habilitar cuentas de correo electrónico y en la nube para la filtración de datos.

CÓMO MITIGAR LA VULNERABILIDAD “PRINTNIGHTMARE” DE PRINT SOOLER

Lo mejor que puede hacer para mitigar esta vulnerabilidad es deshabilitar Print Spooler en cada servidor y/o estación de trabajo sensible. Las agencias del FBI y CISA están instando a todas las organizaciones a aplicar las mitigaciones recomendadas:

  • Aplique MFA y revise las políticas de configuración para protegerse contra escenarios de “apertura fallida” y reinscripción.
  • Asegúrese de que las cuentas inactivas estén deshabilitadas de manera uniforme en los sistemas Active Directory y MFA.
  • Parchar todos los sistemas. Priorizar la aplicación de parches para vulnerabilidades conocidas que han sido explotadas.

AUTOMATIZACIÓN DE HARDENING PARA PRINT SOOLER

En los últimos años, se introdujeron vulnerabilidades en el Print Spooler y parece que PrintNightmare llegó para quedarse y puede que no sea el último ataque usándolo. Por lo tanto, es altamente recomendable no solo parchar sus sistemas, sino también hacer el esfuerzo y deshabilitar Print Spooler en todos sus sistemas. Deshabilitar el spooler reducirá significativamente la superficie de ataque y mejorará la higiene cibernética de su infraestructura. El hardening requiere largas horas de trabajo intensivo que no siempre garantizarán su protección. Es una tarea propensa a errores que a veces puede llevar a romper el entorno de producción de la organización. CalCom ofrece un enfoque automatizado para el hardening. Nuestra solución garantizará que su infraestructura esté reforzada de acuerdo con su política deseada, eliminando el riesgo de interrupciones de producción y desviaciones de la configuración segura.

Ben Balkin
Ben Balkin is a professional writer and blogger specializing in technology and innovation. As a contributor to the Calcom blog, Ben shares practical insights, useful tips, and engaging articles designed to simplify complex processes and make advanced technological solutions accessible to everyone. His writing style is clear, insightful, and inspiring, reflecting his strong belief in technology's power to enhance quality of life and empower businesses.

Related Articles

GUÍA CIS DE HARDENING Y SEGURIDAD DE LA CONFIGURACIÓN

GUÍA CIS DE HARDENING Y SEGURIDAD DE LA CONFIGURACIÓN

June 22, 2021

El Centro para la Seguridad de Internet (CIS) recientemente publicó una versión actualizada para los…

CÓMO CONFIGURAR CONTROLADORES DE DOMINIO PARA MEJORAR LA SEGURIDAD: DERECHOS DE USUARIO

CÓMO CONFIGURAR CONTROLADORES DE DOMINIO PARA MEJORAR LA SEGURIDAD: DERECHOS DE USUARIO

October 5, 2021

Los Controladores de Dominio (DC) controlan las aprobaciones de autenticación del servidor y la verificación…

Guía de configuración de seguridad y refuerzo básico del CIS

Guía de configuración de seguridad y refuerzo básico del CIS

January 4, 2023

Los controles del CIS v8 han sido revisados y publicados por el Center for Internet…

Ready to simplify compliance?

See automated compliance in action—book your demo today!

Share this article