Microsoft ha publicado nueva información sobre una vulnerabilidad de seguridad llamada Print Nightmare. Entre otras cosas, la compañía de software advierte que los atacantes ya están explotando la vulnerabilidad. Se desconoce en este momento qué hará después de dejar el cargo. Dado que aún no hay actualizaciones de seguridad, los administradores deben actuar y proteger temporalmente los sistemas (ver el final de este mensaje).
Debido a una vulnerabilidad en Windows y el servicio de spoiler de impresoras de Windows Server, los atacantes autorizados pueden atacar computadoras y ejecutar código malicioso con derechos del sistema.
Todas las versiones de Windows estaban amenazadas
Ahora Microsoft tiene un mensaje de advertencia Publicado con información adicional sobre la vulnerabilidad (CVE-2021-34527). Según el artículo, el código incorrecto se puede encontrar en todas las versiones compatibles de Windows desde Windows 7 SP1 hasta Windows 10 21H1 y Windows Server 2019. Problemas afectados Listado en la publicación. Las investigaciones adicionales deberían mostrar si todas las organizaciones son vulnerables a los ataques. Microsoft quiere actualizar constantemente el mensaje.
La clasificación del nivel de amenaza aún está pendiente. Sin embargo, ahora está claro que las actualizaciones de seguridad de Patchday en junio no solucionaron la nueva vulnerabilidad a otra vulnerabilidad de impresora similar (CVE-2021-1675, «alta»). Sin embargo, Microsoft recomienda encarecidamente que instale actualizaciones.
Microsoft confirma que los controladores de dominio son vulnerables a nuevas vulnerabilidades. Esta es una puerta de enlace muy peligrosa para que los atacantes comprometan redes enteras. Para evitar que esto suceda, los administradores de dominio deben desactivar urgentemente el servicio de spoiler de la impresora. Aún no se sabe cuándo se liberará el enlace de seguridad. De hecho, debe hacerse pronto. Sin embargo, Microsoft no lanzará la actualización hasta el 13 de julio (13 de julio).
Trabajando para proteger el sistema
Opción 1:
Ejecute los siguientes comandos como administrador de dominio. Tenga en cuenta: Ya no puede imprimir localmente o a través de la red.
Get-Service -Name Spooler
Si el servicio se está ejecutando, desactívelo usando los comandos:
Stop-Service -Name Spooler -Force
Set-Service -Name Spooler -StartupType Disabled
Opcion 2:
Opcionalmente, puede deshabilitar el servicio a través de políticas de grupo. Esta es una ventaja de que aún puede imprimir localmente. Sin embargo, el sistema ya no actúa como servidor de impresión.
Para hacer esto, presione la tecla de Windows para abrir el Editor de políticas de grupo local y luego ingrese «gpedit.msc». En «Configuración del sistema», «Plantillas de administración», «Impresora», encontrará el punto «Permitir que los archivos adjuntos del cliente impriman spoiler». Haz clic derecho y selecciona «Editar» y luego la opción «Deshabilitado».
(de)
