Parecía que la situación de PrintNightmare se resolvió el martes de parches cuando Microsoft lanzó un cambio diseñado para solucionar el problema. Sin embargo, PrintNightmare parece estar lejos de terminar.
Nueva vulnerabilidad PrintNightmare
Se ha descubierto la nueva vulnerabilidad del administrador de trabajos de impresión de día cero. Se rastrea como CVE-2021-36958 y parece permitir a los piratas informáticos obtener privilegios de SISTEMA en una PC con Windows.
Al igual que con los exploits anteriores, este también ataca la configuración de la cola de impresión de Windows, los controladores de impresora de Windows y Windows Point and Print.
El exploit fue descubierto por primera vez porBenjamín Delpy(arribacomputadora pitido) y permite a los actores de amenazas acceder al SISTEMA conectándose a un servidor de impresión remoto. microsoftmás tarde confirmado"Existe una vulnerabilidad de ejecución remota de código cuando el servicio de cola de impresión de Windows realiza incorrectamente operaciones de archivos privilegiados".
Lo que cualquiera podría hacer si explotara esta vulnerabilidad, dice Microsoft: “Un atacante que explotara con éxito esta vulnerabilidad podría ejecutar código arbitrario con privilegios de SISTEMA. Un atacante podría entonces instalar programas; Ver, cambiar o eliminar datos; o cree nuevas cuentas con todos los derechos de usuario. “
¿Cómo puedes protegerte?
Desafortunadamente, tendremos que esperar a que Microsoft publique un parche para abordar esta nueva vulnerabilidad. Mientras tanto, puede deshabilitar la cola de impresión o solo permitir que su dispositivo instale impresoras desde servidores autorizados.
Para habilitar este último, debe editar la política de grupo en su PC. Para hacer esto, inicie gpedit.msc y luego haga clic en "Configuración de usuario". A continuación, haga clic en "Plantillas administrativas" seguido de "Panel de control". Finalmente, vaya a “Impresoras” y haga clic en “Paquete Point and Print – Servidores aprobados”.
Cuando llegue a Package Point and Print – Approved Servers, ingrese la lista de servidores que desea usar o crear como servidores de impresión, luego presione OK para habilitar la política. No es una solución perfecta, pero lo mantendrá a salvo a menos que el actor de amenazas pueda hacerse cargo de un servidor de impresión autorizado con controladores maliciosos.
