{"id":22297,"date":"2021-07-09T08:43:06","date_gmt":"2021-07-09T14:43:06","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=22297"},"modified":"2022-05-05T09:48:02","modified_gmt":"2022-05-05T15:48:02","slug":"printnightmare-vulnerability","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/printnightmare-vulnerability\/22297\/","title":{"rendered":"PrintNightmare: una vulnerabilidad del Administrador de trabajos de impresi\u00f3n de Windows"},"content":{"rendered":"<p>Para finales de junio, los investigadores de seguridad debat\u00edan activamente sobre una vulnerabilidad en el servicio Administrador de trabajos de impresi\u00f3n, la cual apodaron PrintNightmare. Se supone que el parche, que se liber\u00f3 en el martes de parches de junio, deber\u00eda arreglar la vulnerabilidad, y lo hizo; sin embargo, el problema era de dos. El parche cerr\u00f3 <a href=\"https:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=CVE-2021-1675\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2021-1675<\/a>, pero no <a href=\"https:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=CVE-2021-34527\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2021-34527<\/a>. Los malhechores pueden utilizar las computadoras o servidores con Windows sin parchear para obtener el control, ya que el Administrador de trabajos de impresi\u00f3n se activa de manera predeterminada en todos los sistemas Windows.<\/p>\n<p>Microsoft utiliza el nombre PrintNightmare para CVE-2021-34527, pero no para CVE-2021-1675; sin embargo, muchos otros lo utilizan para ambas vulnerabilidades.<\/p>\n<p>Nuestros expertos estudiaron ambas vulnerabilidades a detalle y se aseguraron de que <a href=\"https:\/\/latam.kaspersky.com\/small-to-medium-business-security?icid=es-LA_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">las soluciones de seguridad de Kaspersky<\/a>, con su <a href=\"https:\/\/www.kaspersky.com\/enterprise-security\/wiki-section\/products\/exploit-prevention\" target=\"_blank\" rel=\"noopener nofollow\">tecnolog\u00eda de prevenci\u00f3n de <em>exploits<\/em><\/a> y <a href=\"https:\/\/www.kaspersky.com\/enterprise-security\/wiki-section\/products\/behavior-based-protection\" target=\"_blank\" rel=\"noopener nofollow\">protecci\u00f3n basada en comportamiento<\/a>, evita los intentos para explotarlas.<\/p>\n<h2>Cu\u00e1l es el peligro de PrintNightmare<\/h2>\n<p>PrintNightmare se considera extremadamente peligrosa por dos motivos principales. El primero es que el Administrador de trabajos de impresi\u00f3n est\u00e1 habilitado de manera predeterminada en todos los sistemas con Windows, incluidos los controladores de dominio y las computadoras con privilegios de administrador del sistema, por lo que todos estos equipos son vulnerables.<\/p>\n<p>El segundo es que un malentendido entre equipos de investigadores (y, tal vez, un simple error) llevaron a que un<em> exploit<\/em> de <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/poc-proof-of-concept\/\" target=\"_blank\" rel=\"noopener\">prueba de concepto<\/a> para PrintNightmare se <a href=\"https:\/\/therecord.media\/poc-released-for-dangerous-windows-printnightmare-bug\/\" target=\"_blank\" rel=\"noopener nofollow\">publicara en l\u00ednea<\/a>. Los investigadores involucrados estaban seguros de que el problema se hab\u00eda resulto con el parche de junio de Microsoft, as\u00ed que compartieron su trabajo con la comunidad de expertos. Sin embargo, este <em>exploit<\/em> sigui\u00f3 siendo peligroso. El PoC r\u00e1pidamente se elimin\u00f3, pero no antes de que muchos otros lo copiaran. Por este motivo, los expertos de Kaspersky predijeron un aumento en los intentos de explotar PrintNightmare.<\/p>\n<h2>Las vulnerabilidades y su explotaci\u00f3n<\/h2>\n<p><a href=\"https:\/\/msrc.microsoft.com\/update-guide\/en-US\/vulnerability\/CVE-2021-1675\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2021-1675<\/a> es una vulnerabilidad de <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/privilege-escalation\/\" target=\"_blank\" rel=\"noopener\">elevaci\u00f3n de privilegio<\/a>. Permite que un atacante con privilegios de acceso de bajo nivel cree y utilice un archivo malicioso DLL para ejecutar un <em>exploit<\/em> y obtener privilegios m\u00e1s elevados. Sin embargo, esto solo es posible si el atacante ya tiene acceso directo a la computadora vulnerable en cuesti\u00f3n. Microsoft considera que esta vulnerabilidad tiene un riesgo relativamente bajo.<\/p>\n<p><a href=\"https:\/\/msrc.microsoft.com\/update-guide\/en-US\/vulnerability\/CVE-2021-34527\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2021-34527<\/a> es mucho m\u00e1s peligrosa: Si bien es similar, es una vulnerabilidad de <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/remote-code-execution-rce\/\" target=\"_blank\" rel=\"noopener\">ejecuci\u00f3n de c\u00f3digo remoto<\/a> (RCE), lo que significa que permite la ejecuci\u00f3n remota de archivos DLL. Microsoft ya ha visto <em>exploits<\/em> de esta vulnerabilidad en entornos no controlados, y <a href=\"https:\/\/securelist.com\/quick-look-at-cve-2021-1675-cve-2021-34527-aka-printnightmare\/103123\/\" target=\"_blank\" rel=\"noopener\">Securelist proporciona<\/a> una descripci\u00f3n t\u00e9cnica m\u00e1s detallada de ambas vulnerabilidades y sus t\u00e9cnicas de explotaci\u00f3n.<\/p>\n<p>Debido a que los malhechores pueden utilizar PrintNightmare para acceder a los datos en la infraestructura corporativa, tambi\u00e9n pueden utilizar el <em>exploit<\/em> para ataques de <em>ransomware<\/em>.<\/p>\n<h2>C\u00f3mo proteger tu infraestructura contra PrintNightmare<\/h2>\n<p>El primero paso para protegerte contra los ataques de PrintNightmare es instalar ambos parches, el de <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/en-US\/vulnerability\/CVE-2021-1675\" target=\"_blank\" rel=\"noopener nofollow\">junio<\/a> y el de <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-34527\" target=\"_blank\" rel=\"noopener nofollow\">julio<\/a> , de Microsoft. Esta \u00faltima p\u00e1gina tambi\u00e9n proporciona soluciones alternativas de Microsoft en caso de que no puedas utilizar los parches; una de estas ni siquiera requiere que desactives el Administrador de trabajos de impresi\u00f3n.<\/p>\n<p>Habiendo dicho esto, sugerimos encarecidamente que <a href=\"https:\/\/docs.microsoft.com\/es-mx\/defender-for-identity\/cas-isp-print-spooler\" target=\"_blank\" rel=\"noopener nofollow\">desactives el Administrador de trabajos de impresi\u00f3n de Windows<\/a> en computadoras que no lo necesiten. En espec\u00edfico, es muy poco probable que los servidores del controlador de dominio necesiten poder imprimir.<\/p>\n<p>Asimismo, todos los servidores y computadoras necesitan <a href=\"https:\/\/latam.kaspersky.com\/small-to-medium-business-security?icid=es-LA_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">soluciones de seguridad de endpoints de confianza<\/a> que evitan los intentos de explotaci\u00f3n de vulnerabilidades conocidas y desconocidas, incluida PrintNightmare.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kesb-trial\">\n","protected":false},"excerpt":{"rendered":"<p>Actualiza todos los sistemas de Windows de inmediato para reparar las vulnerabilidades CVE-2021-1675 y CVE-2021-34527 en el servicio Administrador de trabajos de impresi\u00f3n de Windows.<\/p>\n","protected":false},"author":2706,"featured_media":22298,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2795,3539,3540],"tags":[684,498,647,79],"class_list":{"0":"post-22297","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-actualizaciones","11":"tag-dia-cero","12":"tag-vulnerabilidades","13":"tag-windows"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/printnightmare-vulnerability\/22297\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/printnightmare-vulnerability\/23044\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/printnightmare-vulnerability\/18526\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/printnightmare-vulnerability\/9266\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/printnightmare-vulnerability\/24996\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/printnightmare-vulnerability\/23004\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/printnightmare-vulnerability\/25616\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/printnightmare-vulnerability\/25086\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/printnightmare-vulnerability\/31025\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/printnightmare-vulnerability\/9814\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/printnightmare-vulnerability\/40520\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/printnightmare-vulnerability\/17307\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/printnightmare-vulnerability\/17782\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/printnightmare-vulnerability\/15021\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/printnightmare-vulnerability\/27047\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/printnightmare-vulnerability\/31190\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/printnightmare-vulnerability\/27276\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/printnightmare-vulnerability\/24088\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/printnightmare-vulnerability\/29420\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/printnightmare-vulnerability\/29212\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/vulnerabilidades\/","name":"vulnerabilidades"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/22297","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/2706"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=22297"}],"version-history":[{"count":3,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/22297\/revisions"}],"predecessor-version":[{"id":22302,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/22297\/revisions\/22302"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/22298"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=22297"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=22297"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=22297"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}