La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha encontrado una importante vulnerabilidad en el servicio de Cola de Impresión de Windows que Microsoft está investigando activamente.
Este exploit, bautizado como PrintNightmare, ha sido catalogado como «crítico» porque permite la ejecución de código remoto. Según los investigadores, la causa del problema es que el Servicio de Cola de Impresión no restringe el acceso a la función RpcAddPrinterDriverEx(). Esto provoca que un atacante autenticado de forma remota pueda utilizarlo para ejecutar código arbitrario bajo el disfraz de SYSTEM.
Todavía no hay solución para PrintNightmare pero podemos «esquivarlo»
Según la compañía norteamericana, están investigando el problema y de momento solo pueden sugerir dos soluciones temporales. La primera es deshabilitar el servicio de Cola de Impresión de Windows. El segundo, menos drástico, sería deshabilitar la impresión remota a través de las Políticas de Grupo, de modo que podáis seguir imprimiendo en local.
Microsoft está investigando esta vulnerabilidad a través del código CVE-2021-34527. Microsoft ha dicho explícitamente que el código problemático está presente en todas las versiones de Windows pero todavía no saben si está afectando a todas.
Es importante recordar que muchas entidades ya han publicado el código para activar el exploit en los últimos días. Es importante aplicar el último Patch Tuesday para proteger parcialmente a la organización y, a continuación, deshabilitar al menos la impresión remota a través de las Políticas de Grupo.