Este martes, Microsoft lanzó sus nuevos parches de seguridad para proteger a los usuarios de un total de 44 fallos de seguridad, 3 de ellas de día cero, y una explotada activamente. Es muy importante instalar cuanto antes estos nuevos parches acumulativos ya que nos ayudarán a evitar ser víctimas de los piratas informáticos. Además, corrigen el temido fallo PrintNightmare que permite que te hackeen a través de la impresora del PC. Todo parecía ir como la seda, y, por fin, Windows parecía un lugar seguro. Por desgracia, no es así. La pesadilla con las impresoras aún no ha terminado.
¿Qué es PrintNightmare y por qué es tan peligroso?
PrintNightmare es un fallo de seguridad que se encuentra dentro del servicio Print Spooler de Windows. A grandes rasgos, un pirata informático puede aprovecharse de este fallo de seguridad para conseguir el mayor nivel de privilegios dentro del sistema operativo, SYSTEM, y conseguir tener el control absoluto sobre todo el ordenador.
Microsoft lleva tiempo intentando solucionar esta vulnerabilidad, pero sin éxito. Con cada parche de Windows aplica una serie de mitigaciones para bloquear los exploits actuales, pero el fallo sigue presente en el sistema operativo.
Ahora, justo después de llegar los nuevos parches de seguridad para Windows 10, Microsoft ha confirmado un nuevo fallo de seguridad en la Print Spooler de su sistema operativo. Este fallo ha sido registrado como CVE-2021-36958 y las posibilidades son las mismas que siempre, es decir, permite a un atacante conseguir permisos SYSTEM en el sistema operativo y, con ello, podría ver, cambiar o borrar datos del equipo, así como crear nuevas cuentas de usuario con permisos totales.
Curiosamente, Microsoft la ha catalogado como un fallo RCE, de ejecución de código remoto, aunque obviamente se trata de un fallo que permite ganar privilegios en el sistema (LPE) localmente en el sistema (no de forma remota). En cuanto a su peligrosidad, según la medida CVSS 3.0 ha obtenido un 7.3 sobre 10.
Cómo proteger Windows de este nuevo fallo de seguridad
De momento, Microsoft no ha hecho declaraciones sobre cuándo cree que tendrá el fallo de seguridad solucionado. Por lo tanto, si no queremos correr riesgos innecesarios, lo que debemos hacer es desactivar el Print Spooler en nuestro ordenador. Eso sí, debemos tener en cuenta que, si desactivamos esta función, no podremos imprimir.
Para ello, debemos abrir una ventana de PowerShell, con permisos de administrador, y ejecutar los siguientes comandos:
- Run Get-Service -Name Spooler.
- Run Stop-Service -Name Spooler -Force
- Stop-Service -Name Spooler -Force
- Set-Service -Name Spooler -StartupType Disabled
También podemos protegernos de esta grave vulnerabilidad desactivando las funciones de impresión remota. Para ello, lo que debemos hacer es abrir las políticas de grupo ejecutando «gpedit.msc», y buscar la política «Permitir que el administrador de trabajos de impresión acepte conexiones cliente», que encontraremos dentro de Configuración de equipo > Plantillas administrativas > Impresoras.
Tras desactivarla, ya podremos seguir usando el ordenador de forma segura, aunque, repetimos, podemos tener problemas al imprimir. Cuando Microsoft solucione definitivamente estos problemas, entonces podremos volver a activar estas características para que todo vuelva a funcionar correctamente.