Recientemente informábamos acerca de una nueva vulnerabilidad 0-day en el servicio de cola de impresión de Windows que afectaba a todas las versiones de este sistema operativo. A pesar de que inicialmente se pensó que se trataba de una vulnerabilidad supuestamente solucionada en los boletines de seguridad de junio, poco tiempo después se descubrió que en realidad estábamos ante un nuevo agujero de seguridad para el que, además, existía una prueba de concepto que explicaba cómo explotarla.
Parche de emergencia
A pesar de que faltan pocos días para que se publiquen los boletines de seguridad del mes de julio, Microsoft no ha querido esperar más para lanzar el parche de emergencia que soluciona la vulnerabilidad PrintNightmare. Recordemos que este agujero de seguridad permite a atacantes tomar el control de servidores mediante la ejecución remota de código con privilegios elevados que permiten la instalación de software adicional, leer, borrar y modificar datos y crear nuevas cuentas de usuario también con permisos elevados.
Por ese motivo, Microsoft ha publicado estas actualizaciones de emergencia que solucionan la vulnerabilidad en la mayoría de sistemas Windows afectados. Sin embargo, se quedan fuera de estas actualizaciones las versiones de Windows 10 1607, Windows Server 2016 y Windows Server 2012, para las cuales Microsoft ha anunciado que lanzará los parches de seguridad en breve.
Pese a todo, estas actualizaciones de emergencia tan solo solucionan la ejecución remota de código, siendo aún posible para un atacante escalar privilegios en un sistema vulnerable de forma local. Esto significa que si se dispone de acceso físico a un sistema, incluso con este parche de emergencia instalado es posible utilizar la vulnerabilidad PrintNightmare para hacerse con su control.
Instalar o esperar
Aunque Microsoft haya lanzado este parche de emergencia es posible que muchos responsables de sistemas prefieran esperar un poco antes de instalarlo, para descartar posibles incompatibilidades o porque prefieren seguir el procedimiento habitual de instalar las aplicaciones una vez al mes.
Para mitigar los efectos de este agujero de seguridad si se decide esperar a instalar las actualizaciones, existen formas de mitigar el posible impacto de un ataque que intente aprovecharse de él. Entre las opciones disponibles se encuentra la posibilidad de desactivar el servicio de cola de impresión, aunque a costa de eliminar las posibilidades de imprimir de forma local y remota, o deshabilitar las solicitudes entrantes de impresión remota a través de una política de grupo, eliminando así la posibilidad de un ataque remoto.
Con la segunda opción, Microsoft advierte de que el sistema dejará de funcionar como un servidor de impresión pero se seguirá permitiendo la impresión de forma local si el dispositivo se encuentra directamente conectado a la impresora.
Conclusión
Tratándose de una vulnerabilidad considerada como crítica y habiendo una prueba de concepto explicando cómo explotarla, no es extraño que Microsoft haya preferido publicar el parche de emergencia tan pronto como sea posible. Ahora falta que los usuarios y administradores de sistemas responsables de los equipos en redes corporativas instalen estas actualizaciones para evitar ataques que se aprovechen de este importante agujero de seguridad.