- Windows 7, 8.1
- [Act. 02/07/2021] Windows 10 (incluyendo 20H2, 2004,1607,1809 y 1909);
- Windows Server 2008 (incluyendo R2, R2 SP1 y R2 SP2);
- Windows Server 2012 (incluyendo R2);
- Windows Server 2016;
- Windows Server 2019;
- Windows Server, versión 2004;
- Windows Server, versión 20H2.
[Act. 02/07/2021] Microsoft está investigando si este fallo podría afectar a otras versiones de Windows.
Se ha detectado una vulnerabilidad 0-day de severidad crítica que afecta al servicio de cola de impresión de Windows que podría permitir a un ciberatacante realizar una ejecución remota de código.
[Act.02/07/2021] En primer lugar hay que determinar si el servicio Print Spooler (cola de impresión) se está ejecutando. Para ello, tendremos que ejecutar este comando como Administrador de Dominio: «Get - Service - Name Spooler» que nos dirá si la cola de impresión se está ejecutando o si el servicio no está desactivado.
Como primera medida de mitigación se recomienda parar y desactivar el servicio de cola de impresión en los sistemas afectados y que hagan uso de este servicio, ya que siempre se encuentra activado por defecto. Esta medida impide la impresión en local y como servidor de impresión.
[Act.02/07/2021] Otra opción para bloquear ataques remotos consiste en deshabilitar la siguiente política en: Configuración del equipo / Plantillas administrativas / Impresoras. Deshabilitar la política: «Permitir que la cola de impresión acepte conexiones de clientes». La impresora dejará de aceptar peticiones como servidor de impresión, permitiendo solo la impresión desde dispositivos directamente conectados.
Recuerda la importancia de mantener tus sistemas y aplicaciones siempre actualizados:
- Política de actualizaciones de software
- Minimiza los riesgos de un ataque: ¡actualiza el software!
- Buenas prácticas en el área de informática
- Evalúa los riesgos de tu empresa en tan solo 5 minutos
La vulnerabilidad publicada utiliza la función RpAddPrinterDriverEx(), utilizada para instalar el controlador de la impresora en el sistema, para permitir a un ciberatacante autenticado de forma remota ejecutar código arbitrario con privilegios.