Resumen
Las actualizaciones de seguridad publicadas el 6 de julio de 2021 y 2021 contienen protección para una vulnerabilidad de ejecución remota de código en el servicio de cola de impresión de Windows (spoolsv.exe) conocido como "PrintNightmare", documentado en CVE-2021-34527. Después de instalar las actualizaciones de julio de 2021 y posteriores, los no administradores, incluidos los grupos de administradores delegados como los operadores de impresora, no pueden instalar controladores de impresora firmados y sin firmar en un servidor de impresión. De forma predeterminada, solo los administradores pueden instalar controladores de impresora firmados y sin firmar en un servidor de impresión.
Nota Antes de instalar las actualizaciones fuera de banda y Windows de julio de 2021 que contienen protección para CVE-2021-34527, el grupo de seguridad de los operadores de impresora podría instalar controladores de impresora firmados y sin firmar en un servidor de impresora. A partir de la actualización fuera de banda de julio de 2021, se necesitan credenciales de administrador para instalar controladores de impresora firmados y sin firmar en un servidor de impresora. Opcionalmente, para invalidar toda la configuración de directiva de grupo Restricciones de impresión y puntos y asegurarse de que solo los administradores pueden instalar controladores de impresora en un servidor de impresión, configure el valor del Registro RestrictDriverInstallationToAdministrators en 1.
Le recomendamos que instale inmediatamente las últimas actualizaciones de Windows publicadas el 6 de julio de 202 Windows 1 o después del 6 de julio de 2021 en todos los sistemas operativos de cliente y servidor compatibles, empezando por los dispositivos que hospedan actualmente el servicio de cola de impresión. A continuación, establezca "Al instalar controladores para una nueva conexión" y "Al actualizar controladores para una conexión existente" en la configuración de directiva de grupo Restricciones de punto e impresión en "Mostrar aviso y aviso de elevación".
Solución
-
Instale las actualizaciones fuera de banda o posteriores de julio de 2021.
-
Compruebe si las condiciones siguientes son verdaderas:
-
Registro Configuración: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
-
NoWarningNoElevationOnInstall = 0 (DWORD) o no definido (configuración predeterminada)
-
UpdatePromptSettings = 0 (DWORD) o no definido (configuración predeterminada)
-
-
Directiva de grupo: no ha configurado la directiva de grupo Restricciones de impresión y puntos.
Si ambas condiciones son verdaderas, no es vulnerable a CVE-2021-34527 y no se necesita ninguna acción adicional. Si alguna de las condiciones no es verdadera, es vulnerable. Siga los pasos siguientes para cambiar la directiva de grupo Restricciones de impresión y puntos a una configuración segura.
-
Abra la herramienta editor de directivas de grupo y vaya a Configuración del equipo > plantillas administrativas > impresoras.
-
Configure la configuración de directiva de grupo Restricciones de impresión y puntos de la siguiente manera:
-
Establezca la configuración de directiva de grupo Restricciones de impresión y punto en "Habilitado".
-
"Al instalar controladores para una nueva conexión": "Mostrar aviso y aviso de elevación".
-
"Al actualizar controladores para una conexión existente": "Mostrar aviso y aviso de elevación".
-
Importante Le recomendamos encarecidamente que aplique esta directiva a todos los equipos que hospedan el servicio de cola de impresión.
Requisitos de reinicio: Este cambio de directiva no requiere reiniciar el dispositivo o el servicio de cola de impresión después de aplicar esta configuración.
3. Use las siguientes claves del Registro para confirmar que la directiva de grupo se aplicó correctamente:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
-
NoWarningNoElevationOnInstall = 0 (DWORD)
-
UpdatePromptSettings = 0 (DWORD)
Advertencia Al establecer estos valores en valores distintos de cero, los dispositivos en los que ha instalado la actualización de CVE-2021-34527 son vulnerables.
Nota La configuración de esta configuración no deshabilita la característica Punto e impresión.
4. [Recomendado] Invalidar restricciones de punto e impresión para que solo los administradores puedan instalar controladores de impresión en servidores de impresora. Esto se hace con la clave del Registro RestrictDriverInstallationToAdministrators. Las actualizaciones publicadas el 6 de julio de 2021 o posteriores tienen un valor predeterminado de 0 (deshabilitado) hasta las actualizaciones publicadas el 10 de agosto de 2021. Las actualizaciones publicadas el 10 de agosto de 2021 o posteriores tienen un valor predeterminado de 1 (habilitado). Para obtener más información sobre cómo establecer RestrictDriverInstallationToAdministrators y otras recomendaciones relacionadas con la impresión, vea KB5005652: Administrar el nuevo comportamiento de instalación de controladores predeterminados de punto e impresión (CVE-2021-34481)
Obtener más información
¿Afectan las correcciones de CVE-2021-34527 al escenario predeterminado de instalación de controladores de punto e impresión para un dispositivo cliente que se conecta e instala un controlador de impresión para una impresora de red compartida?
No, las correcciones de CVE-2021-34527 no afectan directamente al escenario predeterminado de instalación de controladores de punto e impresión para un dispositivo cliente que se conecta e instala un controlador de impresión para una impresora de red compartida. En este caso, un dispositivo cliente se conecta a un servidor de impresión y descarga e instala los controladores de ese servidor de confianza. Este escenario es diferente del escenario vulnerable en el que un atacante intenta instalar un controlador malintencionado en el propio servidor de impresión, ya sea de forma local o remota.
