Cómo mitigar la vulnerabilidad de Microsoft Print Spooler – PrintNightmare

Vulnerabilidad de la cola de impresión de Microsoft

Esta semana, ImprimirPesadilla – La vulnerabilidad en Microsoft Print Spooler (CVE-2021-34527) se actualizó de criticidad «baja» a «crítica».

El motivo es la Prueba de concepto publicada en GitHub, que los atacantes podrían usar para obtener acceso a los controladores de dominio.

Como se informó anteriormente, Microsoft lanzó una solución en junio de 2021, pero no fue suficiente para detener las vulnerabilidades. Los atacantes aún pueden usar Print Spooler cuando se conectan de forma remota. Todo lo que necesita saber sobre esta vulnerabilidad se puede encontrar en este artículo y cómo puede mitigarla (y puede hacerlo).

Resumen de la cola de impresión: Print Spooler es un servicio de monitoreo y administración de archivos de Microsoft. Este servicio es uno de los más antiguos de Microsoft y ha tenido actualizaciones mínimas de mantenimiento desde su lanzamiento.

Cada computadora de Microsoft (servidores y puntos finales) tiene esta función habilitada de forma predeterminada.

Vulnerabilidad de PrintNightmare: Una vez que un atacante obtiene acceso de usuario limitado a la red, podrá conectarse (directa o remotamente) a Print Spooler. Debido a que Print Spooler tiene acceso directo al kernel, un atacante puede usarlo para obtener acceso al sistema operativo, ejecutar código remoto con privilegios del sistema y finalmente atacar un controlador de dominio.

La mejor manera de mitigar las vulnerabilidades de PrintNightmare es deshabilitar Print Spooler en cada servidor y/o estación de trabajo confidencial (como estaciones de trabajo de administrador, estaciones de trabajo de Internet directo y estaciones de trabajo que no son de impresión).

Esto es lo que sugiere Dvir Goren, experto en endurecimiento y CTO de CalCom Software Solutions, como su primer paso para mitigar.

Para deshabilitar el servicio Print Spooler en Windows 10, siga estos pasos:

  1. Abrir Inicio.
  2. Busque PowerShell, haga clic con el botón derecho en él y seleccione Ejecutar como administrador.
  3. Escribe el comando y presiona Enter: Stop-Service -Spooler Name -Force
  4. Utilice este comando para evitar que el servicio se reinicie durante un reinicio: Set-Service -Name Spooler -StartupType Disabled

Según la experiencia de Dvir, el 90 % de los servidores no requieren un Administrador de trabajos de impresión. Esta es la configuración predeterminada para la mayoría de ellos, por lo que generalmente está habilitada. Como resultado, desactivarlo puede resolver el 90 % de su problema y tener poco impacto en la producción.

En infraestructuras grandes y complejas, puede ser difícil encontrar un lugar para usar Print Spooler.

Estos son algunos ejemplos en los que se requiere Print Spooler:

  1. Al utilizar los servicios de Citrix,
  2. servidores de fax,
  3. Cualquier aplicación que requiera impresión virtual o física de PDF, XPS, etc. Por ejemplo, servicios de facturación y aplicaciones de nómina.

Estos son algunos ejemplos en los que Print Spooler no es necesario pero está habilitado de forma predeterminada:

  1. Controlador de dominio y Active Directory: el principal riesgo de esta vulnerabilidad se puede neutralizar practicando una higiene cibernética básica. No tiene sentido tener Print Spooler habilitado en los servidores DC y AD.
  2. Servidores miembros como SQL, File System y Exchange.
  3. Máquinas que no requieren impresión.

Varios otros pasos de refuerzo diseñados por Dvir para máquinas dependientes de Print Spooler incluyen:

  1. Reemplace el protocolo Vulnerable Print Spooler con Microsoft.
  2. Al cambiar «Permitir colas de impresión para aceptar conexiones de clientes», puede restringir el acceso de usuarios y controladores a las colas de impresión a los grupos que deben utilizarlo.
  3. Deshabilite la función de llamada de Print Spooler en un grupo de compatibilidad anterior a Windows 2000.
  4. Asegúrese de que Point and Print no esté configurado en Sin advertencia: verifique la clave de registro SOFTWARE / Policies / Microsoft / Windows NT / Printers / PointAndPrint / NoElevationOnInstall para DWORD 1 y cámbiela a 0.
  5. Desactive EnableLUA: verifique la clave de registro SOFTWARE / Microsoft / Windows / CurrentVersion / Policies / System / EnableLUA para DWORD 0 y cámbiela a 1.

Esto es lo que debe hacer a continuación para mantener segura su organización:

  1. Averigüe dónde se usa Print Spooler en su red.
  2. Mapee su red y encuentre las máquinas que deben usar Print Spooler.
  3. Deshabilite la cola de impresión en las computadoras que no la usen.
  4. Para computadoras que requieren Print Spooler, configúrelas para minimizar su espacio de ataque.

Además de buscar evidencia potencial de abuso, también debe monitorear las entradas de registro de Microsoft-Windows-PrintService/Admin. Puede haber elementos de mensajes de error que indiquen que Print Spooler no puede cargar las DLL del complemento, aunque esto también puede ocurrir si un atacante ha empaquetado una DLL legítima que requiere Print Spooler.

La última recomendación de Dvir es implementar estas recomendaciones a través de herramientas de automatización de refuerzo. Sin automatización, pasará incontables horas intentando el curado manual y puede ser vulnerable o hacer que los sistemas fallen.

Después de seleccionar su procedimiento, la herramienta de automatización de Hardening detecta dónde está habilitado Print Spooler, dónde se usa realmente y lo desactiva o reconfigura automáticamente.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática