Vulnerabilitat crítica a la cua d'impressió de Windows

Crítica alerta 5

Ahir ja anunciàvem al nostre apartat de notícies la vulnerabilitat crítica anomenadaprint Nightmare« CVE-2021-34527, ja que aquesta vulnerabilitat detectada el dia 1 de juliol, acaba de rebre una actualització per part de Windows.

Per casualitat, fa uns dies, també va sorgir una altra vulnerabilitat a la cua d'impressió CVE-2021-1675. Aquesta vulnerabilitat és similar però diferent, el vector d'atac és diferent.

Segons Microsoft:

Hi ha una vulnerabilitat d'execució remota de codi quan el servei de cua d'impressió de Windows realitza incorrectament operacions amb fitxers privilegiats. Un atacant que aprofiti amb èxit aquesta vulnerabilitat podria executar codi arbitrari amb privilegis de SISTEMA. Aleshores, un atacant podria instal·lar programes; veure, canviar o eliminar dades; o crear comptes nous amb tots els drets d'usuari.

ACTUALITZACIÓ 6 juliol 2021: Microsoft ha completat la investigació i ha publicat actualitzacions de seguretat per abordar aquesta vulnerabilitat. Consulteu la taula de Actualitzacions de seguretat per conèixer l'actualització corresponent al seu sistema. Us recomanem que instal aquestes actualitzacions immediatament. Si no podeu instal·lar aquestes actualitzacions, consulteu les seccions de Preguntes freqüents i Solucions del CVE per obtenir informació sobre com ajudar a protegir el vostre sistema d'aquesta vulnerabilitat. Consulteu també KB5005010: Restricció de la instal·lació de controladors d'impressora nous després d'aplicar les actualitzacions del 6 de juliol de 2021.

Tingueu en compte que les actualitzacions de seguretat publicades a partir del 6 de juliol de 2021 contenen proteccions per a CVE-2021-1675 i el exploit d'execució remota de codi addicional al servei Windows Print Spooler conegut com a «PrintNightmare», documentat a CVE-2021-34527.

solucions alternatives

Determineu si el servei de cua d'impressió s'està executant

Executeu el següent:

Get-Service -Name Spooler

Si la cua d'impressió s'està executant o si el servei no està configurat com deshabilitat, seleccioneu una de les següents opcions per desactivar el servei de cua d'impressió o per desactivar la impressió remota entrant a través de la directiva de grup:

Opció 1: desactivar el servei de cua d'impressió

Si desactivar el servei de cua d'impressió és apropiat per a la seva empresa, utilitzeu els següents comandaments de PowerShell:

Stop-Service -Name Spooler -Force
Set-Service -Name Spooler -StartupType Disabled

Impacte de la solució alternativa. La desactivació de l'servei de cua d'impressió desactiva la capacitat d'imprimir tant de forma local com remota.

Opció 2: desactivar la impressió remota entrant a través de la directiva de grup

També pot configurar els paràmetres a través de la Política de grup de la següent manera:

Configuració de l'ordinador / Plantilles administratives / Impressores

Deshabiliteu la política «Permetre que la cua d'impressió accepti connexions de client:» per bloquejar atacs remots.

Ha de reiniciar el servei de cua d'impressió perquè la política de grup sorgeixi efecte.

Impacte de la solució alternativa. Aquesta política bloquejarà el vector remot en evitar les operacions d'impressió remota entrants. El sistema ja no funcionarà com servidor d'impressió, però la impressió local en un dispositiu connectat directament continuarà sent possible.

Per a més informació, consulteu: Utilitza la configuració de la directiva de grup per controlar les impressores.

Preguntes més freqüents

És aquesta la vulnerabilitat a la qual s'ha fet referència públicament com PrintNightmare?

Sí, Microsoft va assignar CVE-2021-34527 a aquesta vulnerabilitat.

Aquesta vulnerabilitat està relacionada amb CVE-2021-1675?

Aquesta vulnerabilitat és similar però diferent de la vulnerabilitat que se li assigna CVE-2021-1675. El vector d'atac també és diferent. CVE-2021-1675 va ser abordat per l'actualització de seguretat publicada el 8 de juny de 2021.

L'actualització de juny de 2021 va introduir aquesta vulnerabilitat?

No, la vulnerabilitat existia abans de l'actualització de seguretat de el 8 de juny de 2021.

Totes les versions de Windows s'enumeren a la taula Actualitzacions de seguretat. Totes les versions són vulnerables?

Totes les versions de Windows són vulnerables. Les versions compatibles de Windows que no tenen actualitzacions de seguretat disponibles el 6 de juliol s'actualitzaran poc després de el 6 de juliol.

Què vulnerabilitats aborden les actualitzacions de seguretat publicades a partir de el 6 de juliol de 2021?

Les actualitzacions de seguretat publicades a partir de el 6 de juliol de 2021 contenen proteccions per a un exploit d'execució remota de codi en el servei Windows Print Spooler conegut com «PrintNightmare», documentat en CVE-2021-34527, així com per CVE-2021- 1675.

¿Se sap que els controladors de domini es veuen afectats per la vulnerabilitat?

Els controladors de domini es veuen afectats si el servei de cua d'impressió està habilitat.

Se sap que els sistemes client i els servidors membre que no són controladors de domini es veuen afectats per la vulnerabilitat?

Si. Totes les edicions compatibles de Windows es veuen afectades.

Com puc veure l'activitat d'atac en la meva xarxa relacionada amb aquesta vulnerabilitat?

Els productes de seguretat, com Microsoft 365 Defensar, ofereixen diferents formes de veure les alertes i la telemetria rellevants. Microsoft ha publicat les nostres recomanacions per veure aquest tipus de comportament en el nostre GitHub aquí: Consultes de cerca de Microsoft 365 Defensar . Els clients que utilitzen altres tecnologies poden adaptar aquesta lògica per utilitzar-la en els seus entorns.

Com es veu afectada la tecnologia Point and Print per aquesta vulnerabilitat en particular?

Point and Print no està directament relacionat amb aquesta vulnerabilitat, però la tecnologia debilita la postura de seguretat local de manera que lexplotació serà possible. Per reforçar Point and Print, assegureu-vos que es mostrin avisos d'advertiment i elevació per a les instal·lacions i actualitzacions de la impressora. Aquestes són les configuracions predeterminades, però verifiqueu o afegiu les modificacions de registre següents:

  • HKEY_LOCAL_MACHINE \ SOFTWARE \ Polítiques \ Microsoft \ Windows NT \ Printers \ PointAndPrint
  • NoWarningNoElevationOnInstall = 0
  • NoWarningNoElevationOnUpdate = 0

També recomanem enumerar explícitament els servidors d'impressió específics que han d'utilitzar els clients.

Per a més informació, veure:

Comparteix aquesta alerta de seguretat:

Deixa un comentari

Alertes de seguretat

Estigues informat, rep-les al teu email