Se ha detectado una vulnerabilidad 0-day crítica que afecta al servicio de cola de impresión de Windows y podría permitir a un ciberatacante realizar una ejecución remota de código.
El fallo se detectó durante la primera semana de julio, entre los recursos afectados se consiguieron 6:
- Windows 7, 8.1
- [Act. 02/07/2021] Windows 10 (incluyendo 20H2, 2004,1607,1809 y 1909);
- Windows Server 2008 (incluyendo R2, R2 SP1 y R2 SP2);
- Windows Server 2012 (incluyendo R2);
- Windows Server 2016;
- Windows Server 2019;
- Windows Server, versión 2004;
- Windows Server, versión 20H2.
Respecto al fallo «Act. 02/07/2021″ Microsoft está investigando si podría afectar a otras versiones de Windows.
Consecuentemente, luego de descubrir las vulnerabilidades, Microsoft realizó las investigaciones pertinentes para lanzar los parches correspondientes y corregir las vulnerabilidades de día cero.
INCIBE sugiere las siguientes soluciones:
[Act.02/07/2021] En primer lugar, hay que determinar si el servicio Print Spooler (cola de impresión) se está ejecutando. Para ello, tendremos que ejecutar este comando como administrador de dominio: «Get – Service – Name Spooler» que nos dirá si la cola de impresión se está ejecutando o si el servicio no está desactivado.
Como primera medida de mitigación se recomienda parar y desactivar el servicio de cola de impresión en los sistemas afectados y que hagan uso de este servicio, ya que siempre se encuentra activado por defecto. Esta medida impide la impresión en local y como servidor de impresión.
[Act.02/07/2021] Otra opción para bloquear ataques remotos consiste en deshabilitar la siguiente política en: «Configuración del equipo / Plantillas administrativas / Impresoras». Deshabilitar la política: «Permitir que la cola de impresión acepte conexiones de clientes». La impresora dejará de aceptar peticiones como servidor de impresión, permitiendo solo la impresión desde dispositivos directamente conectados
Recuerda la importancia de mantener tus sistemas y aplicaciones siempre actualizados.
Fuente: