Servicio de Impresion de Windows con grave vulnerabilidad que permite RCE
El servicio Windows Print Spooler (spoolsv.exe) que es la que gestiona el proceso de impresión, servicio donde fue detectada una vulnerabilidad denominada PrintNightmare y afecta a todas las versiones de Windows.
Aunque Microsoft lanzó actualizaciones de seguridad en junio 2021 abordando dicha falla, esta no la protege completamente y se recomienda soluciones alternativas hasta lanzar actualizaciones definitivas que lo solucionen.
La vulnerabilidad está en el proceso de añadir una impresora por parte de un usuario sin privilegios y permite en remoto, inyectar cualquier DLL en el sistema con permisos SYSTEM.
El Servicio Print Spooler
Print Spooler gestiona el proceso de impresiones de Windows, incluye la carga de los controladores de las impresoras y la programación del trabajo para imprimir, entre otros.
Inicialmente la vulnerabilidad CVE-2021-34527 se calificó de baja importancia, pero recientemente se volvio a verificar el problema y lo etiqueto como una falla de Ejecución de Código Remoto (RCE).
Esta vulnerabilidad fue analizada y las pruebas de concepto actuales no fueron solucionadas con las actualizaciones de junio.
Microsoft solucionó tres problemas solo en lo que va del año (CVE-2020-1048, CVE-2020-1300, y CVE-2020-1337) relacionado al mismo servicio.
Detener Servicio Print Spooler
Se recomienda deshabilitar el servicio Spooler o desinstalarlo porque el parche de junio no protege completamente contra las PoC disponibles, por lo menos hasta que Microsoft saquen las actualizaciones que solucionen el problema.
Para parar el servicio:
Stop-Service -Name Spooler -Force Set-Service -Name Spooler -StartupType Disable
Para realizarlo por GPO:
- Configuración de Equipo > Directivas > Plantillas Administrativas > Impresoras
- Desactivar «Permitir que el administrador de trabajos de impresión acepte conexiones cliente» para bloquear ataques remotos.
Desde luego que al momento que pares el servicio, ya no podrás imprimir.