Tecnología

Recomendaciones sobre la vulnerabilidad detectada de Windows Server: CVE-2021-1675

La vulnerabilidad en cuestión, identificada como PrintNightmare, afecta a Windows Print Spooler y su explotación permitiría a los actores de amenazas tomar control de un servidor de dominio de Windows y desplegar malware en entornos empresariales. Windows Print Spooler (spoolsv.exe) es un servicio que administra el proceso de impresión y afecta a todas las versiones del sistema operativo Windows.

Microsoft a lanzado actualizaciones de seguridad, aunque la actualización no protege completamente contra varias de las PoC publicadas.

La semana pasada, investigadores de la firma de seguridad china QiAnXin publicaron un GIF que mostraba un exploit funcional para la falla CVE-2021-1675, pero evitaron revelar los detalles técnicos sobre el ataque. De todas formas, vale aclarar que existen ya públicos varios métodos de explotación con sus respectivos exploits.

Hasta actualizar, se recomienda, si es posible, deshabilitar el servicio de spooler o desinstalarlo, porque el parche de junio no protege completamente contra las PoC disponibles.

A continuación, detallamos los correspondientes comandos para ejecutar estas acciones desde CMD:

Método 1 (Deshabilitar)

Stop-Service Spooler

REG ADD “HKLM\SYSTEM\CurrentControlSet\Services\Spooler”/v “Start ” /t

REG_DWORD /d “4” /f

Método 2 (Desinstalar)

Uninstall-WindowsFeature Print-Services

Esta, al igual de otros tantos fallos conocidos pueden ser utilizados para acceder a información privada de la empresa o para afectar la disponibilidad tecnológica.

Para minimizar al máximo este riesgo, desde Fibase recomendamos la ejecución de un ciclo de Auditoria/Remediación con el objetivo de visualizar y reparar de forma constante las fallas que puedan afectar su infraestructura IT. Para más información ¡Contáctanos!

Fuentes:

- Microsoft Security Response Center: https://bit.ly/3qGu1qL

- Registro de CVE: https://bit.ly/3xauW5a