Productos y Servicios PRODUCTOS Y SERVICIOS

Vulnerabilidad de PrintNightmare: que hacer

PrintNightmare es un error crítico de Windows de día cero que permite la ejecución remota de código. Afecta a todas las máquinas Windows compatibles, incluidos los puntos finales y los servidores. Para obtener más información sobre el error, lea el artículo de Naked Security.

A partir del 1 de julio de 2021, aún no hay un parche oficial para solucionar este error. Dada la gravedad, anticipamos que Microsoft lanzará una solución lo antes posible.

SophosLabs está trabajando para generar protección para PrintNightmare como una prioridad.

Qué hacer

  1. Desactive la cola de impresión siempre que pueda
  2. Limite el acceso a los servicios de Print Spooler tan estrictamente como pueda en máquinas con Windows donde realmente no se puede apagar
  3. Busque el parche y aplíquelo en la primera oportunidad

Cómo identificar dispositivos que ejecutan Print Spooler

Uso de Sophos EDR y Sophos XDR
Los clientes de Sophos EDR y Sophos XDR pueden utilizar Live Discover para ejecutar la siguiente consulta para identificar rápidamente qué dispositivos tienen el servicio Print Spooler en ejecución. Si se está ejecutando, la computadora está potencialmente expuesta a vulnerabilidades sin parche como PrintNightmare.

SELECT display_name, status, start_type, user_account,
CASE
   WHEN status = 'RUNNING' THEN ' Exposed to unpatched vulnerabilities inc. PrintNightmare'
   WHEN status = 'STOPPED' THEN ' NOT exposed to unpatched vulnerabilities inc. PrintNightmare'
   END AS SpoolerCheck,
CASE
   WHEN start_type = 'AUTO_START' THEN 'Set Spooler to DISABLED or DEMAND_START'
   END AS ServiceCheck
FROM services WHERE path = 'C:\Windows\System32\spoolsv.exe';

Su consulta debería verse así:

Click to expand

Las organizaciones que utilizan la protección de Sophos gestionada a través de Sophos Central pueden activar Sophos EDR de forma gratuita durante 30 días mediante la función de prueba gratuita de su consola de Sophos Central.

Uso del comando Windows SC (Control de servicio)

Para ver si el servicio Spooler se está ejecutando en su computadora, puede usar el comando Windows SC (Control de servicio) desde una ventana del símbolo del sistema, p. Ej.

C:\Users\duck>sc query spooler

SERVICE_NAME: spooler
        TYPE               : 110  WIN32_OWN_PROCESS  (interactive)
        STATE              : 4  RUNNING
                                (STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN)
        WIN32_EXIT_CODE    : 0  (0x0)
        SERVICE_EXIT_CODE  : 0  (0x0)
        CHECKPOINT         : 0x0
        WAIT_HINT          : 0x0

Puede evitar que la cola de impresión se inicie por sí sola, incluso después de un reinicio, con:

C:\Users\duck>sc config spooler start= disabled

Tenga en cuenta que no debe haber espacio entre la palabra inicio y el carácter =, pero sí necesita un espacio entre el signo = y la palabra deshabilitada. Debe iniciar el símbolo del sistema (CMD.EXE) como administrador para reconfigurar los servicios.

Reinicie y debería ver esto:

C:\Users\duck>>sc query spooler

SERVICE_NAME: spooler
        TYPE               : 110  WIN32_OWN_PROCESS  (interactive)
        STATE              : 1  STOPPED
        WIN32_EXIT_CODE    : 1077  (0x435)
        SERVICE_EXIT_CODE  : 0  (0x0)
        CHECKPOINT         : 0x0
        WAIT_HINT          : 0x0

Actualizaremos este artículo con más información una vez que esté disponible.

Read Similar Articles

Leave a Reply

Your email address will not be published.