Microsoft lanzó el día miércoles una actualización de emergencia para corregir una vulnerabilidad en el servicio de Print Spooler de Windows (servicio de cola de impresión) que está siendo explotada activamente. Apodada PrintNightmare, la vulnerabilidad zero-day afecta a todas las versiones del sistema operativo Microsoft Windows desde Windows 7 en adelante.

Indexada como CVE-2021-34527, la vulnerabilidad de ejecución remota de código fue catalogada de alta severidad y recibió una puntuación de 8.2 sobre 10 en la escala Common Vulnerability Scoring System (CVSS). El fallo fue considerado tan grave que Microsoft decidió emitir un parche fuera de banda, en lugar de esperar al lanzamiento de su paquete habitual de actualizaciones que realiza el segundo martes de cada mes, más conocido como Patch Tuesday.

“La vulnerabilidad de ejecución remota de código existe cuando el servicio Windows Print Spooler realiza de manera indebida operaciones con archivos privilegiados. Un atacante que logre explotar esta vulnerabilidad de manera exitosa podría ejecutar código arbitrario con privilegios de SISTEMA. De esta manera, un atacante podría instalar programas; ver, cambiar o eliminar datos; o crear nuevas cuentas con todos los permisos de usuario”, se lee en la descripción de la vulnerabilidad realizada por Microsoft.

La actualización más reciente se lanzó para parchear versiones de Windows que no fueron incluidas en la anterior actualización fuera de banda que se lanzó el pasado 6 de julio, como es el caso de Windows Server 2012, Windows Server 2016 y Windows 10, versión 1607.

Sin embargo, algunos investigadores notaron rápidamente que el parche no corrige por completo la vulnerabilidad. De hecho, el gigante tecnológico de Redmond también señaló que, en determinadas circunstancias, los sistemas seguirán siendo vulnerables: "Teniendo NoWarningNoElevationOnInstall configurado en 1 hace que su sistema sea vulnerable por diseño". Sin embargo, también publicó workarounds (soluciones alternativas) para el fallo.

El primer workaround se centra en deshabilitar el servicio de cola de impresión, lo que evitará que los usuarios puedan imprimir tanto de forma local como remota. Mientras tanto, el segundo instruye a los administradores y usuarios para que deshabiliten la impresión remota entrante a través de la Política de grupo. Esto bloqueará los ataques remotos ya que evita las operaciones de impresión remota entrantes, pero el sistema dejará de funcionar como servidor de impresión. Sin embargo, seguirá siendo posible imprimir a través de dispositivos conectados directamente.

La vulnerabilidad se remonta a finales de junio, cuando un grupo de investigadores publicaron un exploit de prueba de concepto, creyendo erróneamente que el problema había sido resuelto. La confusión se debió a una vulnerabilidad similar (CVE-2021-1675) que también afecta al servicio de cola de impresión.

A los administradores y usuarios que no instalaron el parche en sus sistemas se recomienda hacerlo lo antes posible. Las actualizaciones se pueden encontrar en todos los canales de lanzamiento habituales, como Windows Update, Microsoft Update Catalog y Windows Server Update Services.