El parche de Windows contra PrintNightmare no sirve de nada

PrintNightmare es el último fallo de Windows que está dando dolores de cabeza a los usuarios. Esta vulnerabilidad se encuentra en el controlador de impresora de Microsoft y puede permitir a un atacante ejecutar código de forma remota en el PC y ganar privilegios de SYSTEM dentro del equipo. Además, existen ya varios exploits públicos circulando por la red, por lo que se trata de un fallo que está siendo explotado de forma masiva, un fallo del que hay que protegerse cuanto antes. Aunque Microsoft nos lo pone difícil.

Ayer mismo, Microsoft lanzó una actualización de emergencia, fuera de plazo, para mitigar esta vulnerabilidad en todos sus sistemas operativos, incluso en algunos, como 7 o algunas de las primeras versiones de Windows 10, que ya no tienen soporte. Este parche bloqueaba la más grave, el fallo RCE que permitía ejecutar código de forma remota en los ordenadores afectados. Por desgracia, el nuevo parche que ha lanzado Microsoft no sirve de nada, y es que no han pasado ni unas horas hasta que han demostrado lo fácil que es esquivarlo.

El parche contra PrintNightmare es ineficaz

Como es habitual, sobre todo cuando se trata de un fallo de seguridad tan grave y con tantos exploits circulando como ha ocurrido con este, nada más que Microsoft hizo público el nuevo parche empezaron a comprobar si, efectivamente, la vulnerabilidad estaba solucionada. Y, tal como era de esperar, no ha sido así.

Con unos sencillos cambios en los exploits es posible seguir explotando, sin ningún problema, este fallo de seguridad. Los piratas informáticos siguen pudiendo ejecutar código y ganar privilegios de forma remota incluso en los ordenadores y servidores que hayan instalado este nuevo parche fuera de plazo.

De momento, Microsoft no ha hecho declaraciones oficiales sobre la inutilidad de su nueva actualización. Pero los expertos de seguridad lo tienen claro: si te quieres proteger de estos fallos de seguridad, tienes que tomar las medidas necesarias tú mismo.

Asegurar los ordenadores y comprobar la mitigación

Hay varias formas de mitigar estos problemas. Una de las más sencillas y rápidas es usar la consola de PowerShell, como administrador, y ejecutar los siguientes comandos:

  • Stop-Service -Name Spooler -Force
  • Set-Service -Name Spooler -StartupType Disabled

También podemos hacerlo desde las políticas de grupo. Dentro de «Configuración de equipo > Plantillas administrativas > Impresoras» haremos doble clic sobre «Permitir que el administrador de trabajos de impresión acepte conexiones cliente» y marcaremos dicha directiva como «Desactivada».

Desactivar administrador de trabajos de impresión

También debemos asegurarnos de que las siguientes entradas del registro, dentro de HKEY_LOCAL_MACHINE>SOFTWARE>Policies>Microsoft>Windows NT>Printers>PointAndPrint, tienen un valor de cero:

  • NoWarningNoElevationOnInstall
  • NoWarningNoElevationOnUpdate

Recordamos que 0Patch tiene un parche no oficial que sí que bloquea estos ataques informáticos. Sin embargo, si hemos instalado el parche de Microsoft (que no sirve de nada), este modifica la librería «localspl.dll», por lo que el parche de 0Patch deja de funcionar. Mucho cuidado.

Ahora solo nos queda esperar a la semana que viene, martes de parches, para ver si Microsoft lanza una segunda actualización con la que intentar mitigar estas vulnerabilidades de PrintNightmare. Y si esta segunda actualización realmente sirve de algo.