Hace una emana veíamos como los equipos basados en Microsoft desde Windows 7 padecen una vulnerabilidad localizada en el servicio de Cola de Impresión. Una brecha de seguridad que permitía ejecutar código en remoto y para la que ahora Microsoft ha publicado el correspondiente parche.
Microsoft ha lanzado una actualización de seguridad de emergencia que llega con el parche KB5004948 y que llega para todas las versiones, y son bastantes, de Windows afectadas por dicho problema. Hasta Windows 7, ya sin soporte, ha recibido el parche de seguridad.
Para todas las versiones de Windows
Microsoft ha lanzado el parche KB5004945 para corregir la vulnerabilidad Print Nightmare de Windows Print Spooler en las versiones más recientes de Windows 10 junto al parche KB5004946, KB500497, KB5004948, KB5004959, KB5004960 y KB5004951 para otras versiones de Windows que también están afectadas por el problema.
- Windows 10, versión 21H1 (KB5004945)
- Windows 10, versión 20H1 (KB5004945)
- Windows 10, versión 2004 (KB5004945)
- Windows 10, versión 1909 (KB5004946)
- Windows 10, versión 1809 y Windows Server 2019 (KB5004947)
- Windows 10, versión 1803 (KB5004949)
- Windows 10, versión 1607 y Windows Server 2016 (KB5004948)
- Windows 10, versión 1507 (KB5004950)
- Windows Server 2012 (paquete acumulativo mensual KB5004956 / solo seguridad KB5004960)
- Windows 8.1 y Windows Server 2012 R2 (paquete acumulativo mensual KB5004954 / solo seguridad KB5004958)
- Windows 7 SP1 y Windows Server 2008 R2 SP1 (paquete acumulativo mensual KB5004953 / solo seguridad KB5004951)
- Windows Server 2008 SP2 (paquete acumulativo mensual KB5004955 / solo seguridad KB5004959)
En el centro de mensajes de Windows, Microsoft afirma que "se ha lanzado una actualización para todas las versiones afectadas de Windows que aún están en soporte".
The Microsoft fix released for recent #PrintNightmare vulnerability addresses the remote vector - however the LPE variations still function. These work out of the box on Windows 7, 8, 8.1, 2008 and 2012 but require Point&Print configured for Windows 2016,2019,10 & 11(?). 🤦♂️ https://t.co/PRO3p99CFo
— Hacker Fantastic (@hackerfantastic) July 6, 2021
La vulnerabilidad Print Nightmare, con la clave, CVE-2021-34527, es una amenaza catalogada como crítica** y tiene como causa el que el Servicio de Cola de Impresión no restringe el acceso a la función RpcAddPrinterDriverEx, algo que puede permitir que un atacante malintencionado y autenticado de forma remota pueda ejecutar código en remoto en nuestro equipo.
El problema es que al parecer, este parche está incompleto, al descubrir investigadores de seguridad que incluso con el parche, se puede lograr tanto la ejecución remota de código como la obtención local de privilegios.
En este sentido y como cuentan en Bleeping Computer, en el blog de 0patch se han publicado pequeños parches no oficiales y gratuitos que sí que atajan el problema ocasionado por PrintNightmare y que pueden bloquear con éxito los intentos de explotar la vulnerabilidad.
En este sentido y si no tienes alguno de estos parches instalados, es aconsejable seguir las recomendaciones que ya vimos en su momento y que pasan por desactivar el servicio "Cola de impresión" si no tenemos impresora o en caso de contar con una impresora, ir a "Editar políticas de grupo", seleccionar "Configuración del equipo", luego pulsar en "Plantillas administrativas", seleccionar "Impresoras" y ahí desactivar la opción "Permitir que el administrador de trabajos de impresión acepte conexiones de clientes".
Vía | Bleeping Computer