PrintNightmare es un error crítico de Windows de día cero que permite la ejecución remota de código. Afecta a todas las máquinas Windows compatibles, incluidos los puntos finales y los servidores. Para obtener más información sobre el error, lea el artículo de Naked Security.
A partir del 1 de julio de 2021, aún no hay un parche oficial para solucionar este error. Dada la gravedad, anticipamos que Microsoft lanzará una solución lo antes posible.
SophosLabs está trabajando para generar protección para PrintNightmare como una prioridad.
Qué hacer
- Desactive la cola de impresión siempre que pueda
- Limite el acceso a los servicios de Print Spooler tan estrictamente como pueda en máquinas con Windows donde realmente no se puede apagar
- Busque el parche y aplíquelo en la primera oportunidad
Cómo identificar dispositivos que ejecutan Print Spooler
Uso de Sophos EDR y Sophos XDR
Los clientes de Sophos EDR y Sophos XDR pueden utilizar Live Discover para ejecutar la siguiente consulta para identificar rápidamente qué dispositivos tienen el servicio Print Spooler en ejecución. Si se está ejecutando, la computadora está potencialmente expuesta a vulnerabilidades sin parche como PrintNightmare.
SELECT display_name, status, start_type, user_account, CASE WHEN status = 'RUNNING' THEN ' Exposed to unpatched vulnerabilities inc. PrintNightmare' WHEN status = 'STOPPED' THEN ' NOT exposed to unpatched vulnerabilities inc. PrintNightmare' END AS SpoolerCheck, CASE WHEN start_type = 'AUTO_START' THEN 'Set Spooler to DISABLED or DEMAND_START' END AS ServiceCheck FROM services WHERE path = 'C:\Windows\System32\spoolsv.exe';
Su consulta debería verse así:
Las organizaciones que utilizan la protección de Sophos gestionada a través de Sophos Central pueden activar Sophos EDR de forma gratuita durante 30 días mediante la función de prueba gratuita de su consola de Sophos Central.
Uso del comando Windows SC (Control de servicio)
Para ver si el servicio Spooler se está ejecutando en su computadora, puede usar el comando Windows SC (Control de servicio) desde una ventana del símbolo del sistema, p. Ej.
C:\Users\duck>sc query spooler SERVICE_NAME: spooler TYPE : 110 WIN32_OWN_PROCESS (interactive) STATE : 4 RUNNING (STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN) WIN32_EXIT_CODE : 0 (0x0) SERVICE_EXIT_CODE : 0 (0x0) CHECKPOINT : 0x0 WAIT_HINT : 0x0
Puede evitar que la cola de impresión se inicie por sí sola, incluso después de un reinicio, con:
C:\Users\duck>sc config spooler start= disabled
Tenga en cuenta que no debe haber espacio entre la palabra inicio y el carácter =, pero sí necesita un espacio entre el signo = y la palabra deshabilitada. Debe iniciar el símbolo del sistema (CMD.EXE) como administrador para reconfigurar los servicios.
Reinicie y debería ver esto:
C:\Users\duck>>sc query spooler SERVICE_NAME: spooler TYPE : 110 WIN32_OWN_PROCESS (interactive) STATE : 1 STOPPED WIN32_EXIT_CODE : 1077 (0x435) SERVICE_EXIT_CODE : 0 (0x0) CHECKPOINT : 0x0 WAIT_HINT : 0x0
Actualizaremos este artículo con más información una vez que esté disponible.