Cómo mitigar la vulnerabilidad crítica PrintNightmare de Windows 10
Microsoft lanzó recientemente parches de emergencia para corregir una vulnerabilidad de día cero en el servicio Print Spooler (cola de impresión) de Windows llamada “PrintNightmare”. Sin embargo, los parches no solucionaron el problema. Investigadores de seguridad descubrieron que la vulnerabilidad todavía está presente en varias versiones de Windows incluso después de aplicar el parche. Es decir, los usuarios aún siguen siendo vulnerables a serias amenazas de seguridad.
La vulnerabilidad aún está activa en varias versiones de Windows, pero desactivar ciertas configuraciones del sistema puede mantenerte a salvo.
Al explotar la vulnerabilidad PrintNightmare, los ciberdelincuentes podrían obtener el control de una PC e instalar malware, ransomware, robar o destruir datos importantes y más, sin requerir acceso físico a la computadora. Ya sabes, cosas malas de verdad.
Algunos expertos en seguridad dudan de que la compañía haya probado correctamente el parche antes de liberarlo para los usuarios. De cualquier manera, es una mala imagen para Microsoft y solo convierte la debacle de PrintNightmare en una pesadilla. Una pesadilla que pone en riesgo millones de dispositivos Windows.
¿Qué es PrintNightmare?
PrintNightmare afecta a Windows Print Spooler en todas las versiones de Windows, incluidas las versiones instaladas en computadoras personales, redes empresariales, servidores Windows y controladores de dominio. Peor aún, los ciberdelincuentes están explotando activamente PrintSpooler debido a un ataque fallido de prueba de concepto (PoC).
Los investigadores de seguridad de Sangfor descubrieron el exploit PrintNightmare junto con varias otras vulnerabilidades de día cero en los servicios de Windows Print Spooler. El grupo creó exploits de PoC como parte de una próxima presentación sobre las vulnerabilidades. Los investigadores creyeron que las vulnerabilidades ya estaban parcheadas y las publicaron en Github.
Microsoft, de hecho, había parcheado algunas de las vulnerabilidades de Print Spooler día cero en una actualización de seguridad anterior. No obstante, PrintNightmare no estaba parcheado. Si bien el PoC PringNightmare original de Sangfor ya no está en Github, el proyecto se replicó antes de que pudiera ser eliminado. Y, hay evidencia de que se ha utilizado el exploit PoC.
Microsoft lanzó parches de seguridad de emergencia para todas las versiones afectadas de Windows, que incluyen:
- Windows 10
- Windows 8.1
- Numerosas versiones de Windows Server
- Windows 7
- Windows RT 8.1
Desafortunadamente, como ahora sabemos, los parches no funcionaron totalmente. Afortunadamente, el servicio Windows Print Spooler puede desactivarse temporalmente para evitar un ataque de PrintNightmare.
Cómo desactivar el servicio de cola de impresión de Windows de inmediato
Los administradores de red pueden deshabilitar (y restaurar) Windows Print Spooler y la impresión remota con una política de grupo. No obstante, los usuarios comunes deben desactivarlos usando los comandos de Powershell, que protegerán tu PC contra cualquier amenaza de PrintNightmare:
- Debes utilizar la barra de tareas o el menú de inicio de Windows para buscar “Powershell“.
- Haz clic con el botón derecho en Powershell y selecciona “Ejecutar como administrador”.
- En el indicador de Powershell, ejecuta el siguiente comando para deshabilitar la Print Spooler de Windows:
Stop-Service -Name Spooler -Force
- Luego, debes ejecutar este comando para evitar que Windows vuelva a habilitar los servicios de cola de impresión al inicio:
Set-Service -Name Spooler -StartupType Disabled
- Debes mantener los servicios de Windows Print Spooler desactivados hasta que el parche de Microsoft esté disponible e instalado en tu PC en un futuro próximo. Una vez que hayas parcheado de forma segura, puedes volver a habilitar los servicios de Print Spooler en Powershell usando
Set-Service -Name Spooler -StartupType Automatic
yStart-Service -Name Spooler commands
.
Única opción, pero no definitiva
Ten en cuenta que esta no es una medida preventiva a largo plazo, ya que la vulnerabilidad sigue presente incluso con los servicios de cola de impresión deshabilitados. Sin embargo, es la única opción por ahora.
Te recomendamos mantener Print Spooler desactivado incluso si Microsoft lanza actualizaciones de seguridad posteriores, solo para estar seguro. Puedes volver a habilitar Print Spooler una vez que se haya confirmado que la vulnerabilidad está completamente parcheada.
Actualizaremos esta publicación una vez más si se lanza otro parche. Para la mayoría de los usuarios de Windows 10, se mostrarán automáticamente más actualizaciones de seguridad, pero también puedes buscar manualmente nuevos parches en Configuración> Actualización y seguridad> Actualización de Windows> Buscar actualizaciones.
Los usuarios de versiones anteriores de Windows, como Windows 7, deben descargar e instalar el parche manualmente desde la guía de actualización de seguridad de Microsoft.