Hace dos meses atrás, se hizo público un fallo en el sistema Windows. Este fallo o mejor dicho vulnerabilidad del sistema es realmente grave. Sin exagerar, estamos hablando de un bug que se encuentra en el controlador de impresora de Microsoft, bautizado con el nombre PrintNightmare.
El mismo fallo permite que atacantes puedan ejecutar código en tu sistema de manera remota. Agregándole que la vulnerabilidad PrintNightmare afecta a Windows 10, Windows 7 y según algunos expertos, otras ediciones del sistema.
Por lo tanto, no estamos hablando de un simple bug si no de un fallo que está siendo explotado por la red con fines malintencionados.
A día de hoy Microsoft lanzó un parche oficial para PrintNightmare. Sin embargo, muchos usuarios afirman que el mismo no sirve para nada. Es por eso que expertos en seguridad informática brindaron soluciones alternativas al parche de Microsoft. Por lo tanto, si utilizas Windows 10 te recomiendo prestarle atención a este artículo para protegerte de PrintNightmare.
Tabla de Contenido
¿Qué es PrintNightmare?
Primero me gustaría hablar un poco sobre esta vulnerabilidad para que sepas de que se trata exactamente. Básicamente, PrintNightmare es un fallo que se encuentra en el controlador de impresora de Microsoft.
Se le considera una vulnerabilidad grave ya que permite a cualquier entendido del tema atacar tu sistema. Imagínate que los entendidos en ciberseguridad afirmaron que gracias a este fallo es posible tener el control de un sistema Windows, pues los atacantes pueden ejecutar código de manera remota, es decir sin la necesidad de estar utilizando físicamente tu PC.
Además, el fallo PrintNightmare permite que el atacante adquiera permisos de administrador. Por si no lo sabías, teniendo acceso a un sistema Windows 10 con privilegios de administrador puedes básicamente hacer lo que tú quieras.
Justamente, los atacantes podrían acceder a toda tu información personal, borrar información, instalar todo tipo de Malware e incluso crear cuentas nuevas para usarlas de forma remota. Como puedes leer no estamos hablando de cualquier fallo, si no de una vulnerabilidad grave.
PrintNightmare o CVE-2021-3452 (Código de Microsoft para identificar a la vulnerabilidad) surgió por “error”.
Aquí cada uno puede sacar sus propias conclusiones, pero la información del origen del fallo se adjunta a la empresa Sangfor. Esta, supuestamente por error, hizo pública la vulnerabilidad junto con una guía de cómo aprovecharse de ella.
A día de hoy tenemos las repercusiones de esto. Pues, obviamente una gran cantidad de usuarios malintencionados comenzaron a explotar el fallo y publicar todo tipo de contenido por la red. Si bien es cierto que Sangfor eliminó la guía, esto no sirvió de mucho, ya que recorrió todo internet.
Aclarando todo esto, veremos cómo puedes defenderte de esta vulnerabilidad que afecta a Windows 10 y Windows 7.
Utilizar el parche oficial de Microsoft Windows para PrintNightmare
Microsoft tardó un tiempo considerable en sacar un parche para este bug, pero finalmente lo hizo. Se trata de la actualización del sistema KB5004945.
Esta actualización se instala de manera automática por lo tanto no tienes que hacer mucho. Digo esto ya que ni bien salió fue una actualización obligatoria, por lo tanto, seguramente ya la tengas instalada.
En el caso que tengas deshabilitado Windows Update o las actualizaciones desactivadas, te recomiendo actualizar tu equipo. Si quieres comprobar que tu Windows tenga la actualización KB5004945 es muy sencillo, solo chequea el historial de actualizaciones y allí tiene que figurar.
En el caso que no puedas conseguir el parche de actualización para PrintNightmare desde Windows Update no te preocupes. Aquí te dejo la página oficial donde figuran todos los parches KB5004945 para todas las versiones de Windows que aplica.
Pero como ya comenté en un principio esta actualización no cubre del todo el fallo. Según diversos usuarios básicamente, no sirve para nada. Paso a explicártelo brevemente.
El parche KB5004945 no es suficiente para PrintNightmare
Desde Microsoft aseguraron que con su parche se arreglaba la vulnerabilidad RCE. Esto significa que los atacantes no puedan ejecutar código en tu sistema de manera remota, aunque este infectado.
El problema fue que Microsoft tardó mucho tiempo en sacar el parche. Por lo tanto, por la red se fueron acumulando exploits e información de cómo aprovecharse del fallo.
Fue tanta la información que circulaba por foros y diversas páginas web que los expertos no tardaron casi nada en demostrar que podían seguir teniendo acceso remoto con PrintNightmare y seguir explotando el fallo. Para esto, solo modificaron un poco el código…
Aquí te dejo el Twitter de un usuario el cual se encargó de subir a sus redes que el fallo aún podía ser explotado. Aclaro que este usuario solo demuestra que el parche no sirve para que los usuarios no estén desprotegidos.
Por esta razón y teniendo en cuenta que muchos usuarios utilizan Windows y también teniendo en cuenta que no solo afecta a Windows 10 si no que Windows 7, Server etc… tanto la empresa Microsoft como expertos en ciberseguridad dieron a conocer públicamente cómo cubrir esta vulnerabilidad. Es más, hasta existe un parche NO oficial para PrintNightmare.
A continuación, te explicaré todos los procedimientos que puedes llevar a cabo para defenderte de PrintNighmare.
Desactivar Print Spooler desde la PowerShell de Windows
La primera opción que tienes para protegerte de PrintNightmare, dejando de lado del parche de Windows, es la siguiente.
Primero, tendrás que abrir una terminal de PowerShell, para esto solo busca “PowerShell” en la barra de búsqueda de Windows. Dale clic derecho a “Windows PowerShell” y ejecuta la terminal cómo administrador.
Una vez en la terminal, tendrás que ejecutar una serie de comandos, los cuales son los siguientes:
- Run Get-Service -Name Spooler.
- Run Stop-Service -Name Spooler -Force
- Stop-Service -Name Spooler -Force
- Set-Service -Name Spooler -StartupType Disabled
Asegúrate de ejecutar estos comandos en el orden establecido aquí. Haciendo esto, estarás desactivando el servicio de cola de impresión de Windows. Justamente, donde radica la vulnerabilidad CVE-2021-34527 (PrintNightmare).
Ten en cuenta que no podrás imprimir ningún documento desde el PC que realices este método.
Desactivar la impresión remota
Desde Microsoft y foros no oficiales de Windows recomiendan desactivar la función de impresión remota. El fin de este método es intentar impedir el acceso remoto a tu PC. Este método parece un poco complejo si no tienes muchos conocimientos en Windows. Pero si sigues los pasos que te diré a continuación podrás hacerlo sin problema alguno.
Los pasos a seguir son los siguientes:
Primero, busca en la barra de Windows “Ejecutar” y ejecútalo. Podrás observa una pequeña ventana. En la barra escribe lo siguiente: gpedit.msc y luego haz clic en Aceptar. Haciendo esto estarás abriendo las políticas de grupo.
Notarás que se abrirá una interfaz en tu sistema, perfecto. Aquí tienes que abrir el apartado “Configuración de equipo”, por lo tanto, dale clic. Cuando lo hagas se desplegarán diversas carpetas en el menú lateral izquierdo. Allí selecciona “Plantillas Administrativas” y podrás notar una entrada llamada “Impresoras” solo dale clic. Notarás varias opciones dentro de “Impresoras” allí busca la que diga “Permitir que el administrador de impresión acepte conexiones cliente” y dale doble clic.
Podrás ver que se abrirá una ventana nueva llamada “Permitir que el administrador de impresión acepte conexiones cliente”. En la interfaz podrás ver tres opciones: No configurada, Habilitada y Deshabilitada. Obviamente, marca la opción “Deshabilitada” luego haz clic en aplicar y finalmente en Aceptar.
Luego de aplicar los cambios reinicia tu sistema Windows y listo. Con este método estarás impidiendo la explotación remota de este servicio.
Utilizar el parche no oficial para PrintNightmare 0Patch
El sitio 0Patch se encargó de crear un parche específico para PrintNigthmare. De todas formas, es un parche NO oficial y haciendo los dos métodos anteriormente mencionados ya estarías parcheando la vulnerabilidad tú solo. Sin embargo, si quieres chequear la web de 0Patch no está nada mal.
Lamentablemente no puedes aplicar únicamente el parche de este sitio. Cómo bien se aclara en el Blog 0Patch – PrintNigthmare tienes que crearte una cuenta en su plataforma.
Para crearte una cuenta puedes hacerlo directamente desde 0Patch Central – REGISTRO, luego tendrás que bajar el software 0Patch Agent desde el mismo sitio.
Para aplicar el parche solo tienes que ejecutar la herramienta y lo hará solo (así dice en su web). Además, en su blog puedes ver un vídeo demostrativo de cómo funciona 0Patch.
Ten en cuenta que es un software de pago no de código libre.
Supongo que ahora ya tienes todas las herramientas y conocimientos a tu disposición para protegerte de PrintNightmare.
Espero que este artículo te haya servido, cualquier duda o sugerencia deja tu comentario debajo.