Aquest agost Microsoft ha publicat un avís de seguretat fora de banda que reconeix l'existència de una altra vulnerabilitat de Print Spooler (CVE-2021-36958).
El servei Print Spooler és un dels components més antics de Windows i el seu codi té al menys 20 anys i ha començat a ser examinat cada vegada més per investigadors i atacants.
Una vulnerabilitat en el servei va ser explotada fa més d'una dècada pels atacants de Stuxnet i, des d'aleshores, hi ha hagut un flux constant de nous descobriments, com PrintDemon i PrintNightmare.
Què provoca?
És una vulnerabilitat d'execució remota de codi que existeix quan el servei Windows Print Spooler realitza incorrectament operacions de fitxers privilegiats.
Un atacant que aprofiti amb èxit aquesta vulnerabilitat podria executar codi arbitrari amb privilegis de SISTEMA. Llavors, un atacant podria instal·lar programes; veure, canviar o eliminar dades; o crear nous comptes amb tots els drets d'usuari.
Què podem fer?
De moment, no hi ha acord per part de Microsoft. Però s'indica aquesta solució alternativa:
A partir del 2021.09.14 actualització ja solucionen el problema. No caldrà desactivar la cua d'impressió.
Determinar si el servei de cua d'impressió s'està executant per detenir-lo i desactivar-
Per fer això, primer cal executar el següent en el Windows PowerShell:
Get-Service -Name Spooler
Si la cua d'impressió s'està executant o si el servei no està encara deshabilitat, cal seguir aquests passos, executar el següent en el Windows PowerShell:
Stop-Service -Name Spooler -Force Set-Service -Name Spooler -StartupType Disabled
Aquesta mesura impedirà la impressió en local i com servidor d'impressió.
