MS16-087: Actualización de seguridad para los componentes del administrador de trabajos de impresión de Windows 12 de julio de 2016

Se aplica a: Windows Server 2012 R2 DatacenterWindows Server 2012 R2 StandardWindows Server 2012 R2 Essentials

Aviso


Esta actualización de seguridad se volvió a publicar el 12 de septiembre de 2017 para solucionar problemas conocidos de la actualización 3170455 para CVE-2016-3238.

Microsoft ha publicado las siguientes actualizaciones para las versiones actualmente compatibles de Microsoft Windows. Para obtener más información al respecto, consulte el artículo siguiente en Microsoft Knowledge Base:

  • Fecha de nueva publicación 3170455 para Windows Server 2008
  • Paquete acumulativo mensual 4038777 y actualización de seguridad 4038779 para Windows 7 y Windows Server 2008 R2
  • Paquete acumulativo mensual 4038799 y actualización de seguridad 4038786 para Windows Server 2012
  • Paquete acumulativo mensual 4038792 y actualización de seguridad 4038793 para Windows 8.1 y Windows Server 2012 R2
  • Actualización acumulativa 4038781 para Windows 10
  • Actualización acumulativa 4038781 para Windows 10, versión 1511
  • Actualización acumulativa 4038782 para Windows 10, versión 1607 y Windows Server 2016

Microsoft recomienda que los usuarios que ejecutan Windows Server 2008 vuelvan a instalar la actualización 3170455. Microsoft recomienda que los usuarios que ejecutan otras versiones compatibles de Windows instalen la actualización adecuada. Para obtener más información, vaya al  artículo 3170455 de Microsoft Knowledge Base.


Otros cambios que se incluyen en la nueva publicación de MS16-087

  • Se agregó el registro de eventos para ayudar a determinar la causa de los errores de instalación de controlador.

Anteriormente, la única manera que un usuario tenía para saber por qué se había producir un error en un controlador durante las nuevas comprobaciones de restricción implementadas como parte de MS16-087 era recopilar registros etw de impresión y luego enviarlo a Microsoft para su análisis.

Hemos agregado funcionalidad para registrar la causa de los errores en el registro de eventos para que los usuarios puedan, ellos mismos, investigar la causa raíz de los errores de controlador.

Información que se registrará:

1. Si un controlador no es compatible con paquetes o no está firmado correctamente, se registrará el siguiente mensaje:

MSG_CSRSPL_UNTRUSTED_DRIVER: "The print spooler failed to download package for driver <driverName>. Error code= <errorCodeFromListBelow>. Blocking driver as there could be a possibility of potential tampering." (El administrador de trabajos de impresión no pudo descargar el paquete para el controlador <NombreDeControlador>. Código de error= <CódigoErrorDeListaSiguiente>. Se bloqueará el controlador porque existe la posibilidad de manipulación no autorizada").

2. Si un controlador no supera la validación de una firma mediante el catálogo proporcionado, se registra el siguiente mensaje:

VALIDATEDRVINFO_FAILED: "In VALIDATINGDRVINFO, Adding printer driver <NombreDeControlador> failed, error code <CódigoErrorDeListaSiguiente>.

Posibles códigos de error:

Código

Significado

0x800F0243L

Publisher not trusted (El editor no es de confianza)

0x800F024BL

Hash not in catalog (Hash no disponible en el catálogo)

0x800F022FL

No Catalog for OEM INF (No hay catálogo para INF del OEM)

0x800F023FL

No authenticode catalog (Sin catálogo de código de autenticación)

0x800F0240L

Authenticode disallowed (Código de autenticación no permitido)

0x800F0249L

"Driver install blocked" (Instalación de controlador bloqueada) genérico

 

Resumen


Esta actualización de seguridad resuelve vulnerabilidades en Microsoft Windows. La vulnerabilidad más grave podría permitir la ejecución del código remoto si un atacante puede ejecutar ataques de tipo "Man in the middle" (MiTM) en una estación de trabajo o un servidor de impresión, o configurar un servidor de impresión no autorizado en una red de destino.

Para obtener más información sobre la vulnerabilidad, consulte Boletín de seguridad MS16-087 de Microsoft.

Más información


importante
 
  • Después de instalar esta actualización de seguridad, para implementar controladores de apuntar e imprimir desde los servidores de impresión a los clientes, tiene que aplicar el siguiente paquete acumulativo de actualizaciones de Windows en el servidor de impresión Windows 8.1 o Windows Server 2012 R2:
    3000850 Paquete acumulativo de actualizaciones de noviembre de 2014 para Windows RT 8.1, Windows 8.1 y Windows Server 2012 R2
  • Todas las actualizaciones futuras de seguridad o no relacionadas con la seguridad para Windows RT 8.1, Windows 8.1 y Windows Server 2012 R2 requieren la instalación de la actualización 2919355. Se recomienda instalar la actualización 2919355 en el equipo con Windows RT 8.1, Windows 8.1 o Windows Server 2012 R2 para recibir futuras actualizaciones.
  • Si se instala un paquete de idioma después de esta actualización, habrá que volver a instalar la actualización. Por tanto, se recomienda instalar los paquetes de idioma necesarios antes de instalar esta actualización. Para obtener más información, consulte Agregar paquetes de idioma para Windows.

Información adicional acerca de esta actualización de seguridad


En los siguientes artículos podrá encontrar información adicional sobre esta actualización de seguridad relacionada con las versiones de productos individuales. Los artículos pueden contener información sobre problemas conocidos.
 
  • 3170455 MS16-087: Descripción de la actualización de seguridad para los componentes del administrador de trabajos de impresión de Windows: 12 de julio de 2016
  • 3163912 Actualización acumulativa para Windows 10: 12 de julio de 2016
  • 3172985 Actualización acumulativa para Windows 10, versión 1511 y Windows Server 2016 Technical Preview 4: 12 de julio de 2016
 

Problemas conocidos

Si usa la impresión de red en su entorno, es posible que experimente uno de los siguientes problemas:
 
  • Es posible que aparezca una advertencia sobre la instalación de un controlador de impresora o que el controlador no se instale sin notificación después de aplicar MS16-087. Los síntomas que se indican aquí dependen del escenario específico.
     

    Escenario 1

    Para los controladores de impresora v3 no compatibles con paquetes, es posible que aparezca el siguiente mensaje de advertencia cuando los usuarios intentan conectar impresoras tipo apuntar e imprimir:

    ¿Confía en esta impresora?
     

    Escenario 2

    Los controladores compatibles con paquetes se deben firmar con un certificado de confianza. El proceso de comprobación verifica si todos los archivos incluidos en el controlador se almacenan en el hash del catálogo. Si se produce un error durante la comprobación, el controlador se considera como que no es de confianza. En este caso, se bloquea la instalación del controlador y aparece el siguiente mensaje de error:

    Agregar impresora
     

    Escenario 3

    En escenario no interactivos (por ejemplo, la impresora se instala a través de un script automatizado), cuando el controlador de impresora coincide con los criterios que se describen para los escenarios 1 o 2, se produce un error en la instalación sin que aparezca ningún mensaje de advertencia.

    En estos casos, póngase en contacto con el administrador de red para obtener un controlador actualizado del fabricante de la impresora.

    Asistencia para los administradores de red:
     
    • actualizar el controlador de impresora afectado. En Windows Vista se presentaron controladores de impresora V3 compatibles con paquetes. Si se instala un controlador de impresora compatible con paquetes, se solucionará el problema.
    • Si una impresora heredada específica no tiene disponible el controlador de impresora adecuado, el problema se solucionará si se preinstala el controlador de impresora problemático en el sistema cliente.
    Para obtener más información sobre estos escenarios, consulte los siguientes recursos de Microsoft:
     
  • Después de aplicar la actualización de seguridad MS16-087 (KB 3170455) e intenta conectarse a una impresora compatible con paquetes de confianza en un sistema que ejecuta Windows 8.1 o Windows Server 2012 R2, no es posible conectarse a la impresora.

    Para solucionar este problema, aplique el siguiente paquete acumulativo de actualizaciones de Windows en el servidor de impresora Windows 8.1 o Windows Server 2012 R2:
    3000850 Paquete acumulativo de actualizaciones de noviembre de 2014 para Windows RT 8.1, Windows 8.1 y Windows Server 2012 R2

Actualización de octubre de 2016: Mitigación para problemas conocidos

Microsoft publicó una actualización para octubre de 2016 que permite a los administradores de red configurar directivas que permiten la instalación de controladores de impresión que ellos consideren seguros. Esta actualización también permite a los administradores de red implementar conexiones de impresora que ellos consideren seguras.

Las actualizaciones se incluyen en los siguientes paquetes acumulativos.

 
Windows 10 RTM KB 3192440
Windows 10 1511 KB 3192441
Windows 10 1607 KB 3194798
Windows 7 y Windows Server 2008 R2 KB 3192403
Windows Server 2012 KB 3192406
Windows 8.1 y Windows Server 2012 R2 KB 3192404

Configuración de la directiva de grupo para agregar servidores de impresión a la lista de elementos permitidos

  1. Haga clic en Inicio y, después, en Ejecutar.
  2. Escriba gpedit.msc y haga clic en Aceptar.
  3. Expanda Configuración del equipo y, después, Plantillas administrativas.
  4. Haga clic en Impresoras.
  5. Haga doble clic en Restricciones de apuntar e imprimir y seleccione la opción Habilitado.
  6. En Opciones, active la casilla Los usuarios solo pueden apuntar e imprimir en los siguientes servidores: y escriba los nombres de servidor completos en el cuadro de texto, separados por punto y coma.
  7. En Indicadores de seguridad, seleccione No mostrar advertencia ni indicador de elevación en las listas Al instalar los controladores para una nueva conexión y Al actualizar los controladores de una conexión existente.
  8. Haga clic en Aplicar y luego en Acepar.
  9. En la página de directivas Impresoras, haga doble clic en Apuntar e imprimir en paquete: servidores aprobados.
  10. Seleccione la opción Habilitado.
  11. En Opciones, haga clic en Mostrar.
  12. Escriba un nombre de servidor completo en cada fila.
  13. Haga clic en Aceptar.
  14. Haga clic en Aplicar y luego en Aceptar.
  15. Si usa un cliente autónomo, reinicie el cliente y luego compruebe que se hayan aplicado las directivas.
  16. Si usa directivas de dominio, inserte las directivas en los clientes de dominio y luego compruebe que se hayan aplicado las directivas.
Nota Después de habilitar las directivas de grupo, tiene que agregar todos los servidores de impresión a las listas Restricciones de apuntar e imprimir y Apuntar e imprimir en paquete: servidores aprobados. Esto es el caso, independientemente de la compatibilidad con paquetes.
 

Preguntas más frecuentes sobre la actualización de octubre de 2016

  • P: ¿Hay que instalar la actualización anterior?
    R: No. La actualización anterior corrige la vulnerabilidad. La actualización de octubre de 2016 proporciona mitigación para que los administradores de red tengan la capacidad de instalar los controladores que ellos consideren seguros.
  • P: Incluso con la actualización de octubre de 2016 instalada y las directivas de grupo configuradas, el mensaje "¿Confía en esta impresora?" sigue apareciendo al intentar instalar una impresora local. ¿A qué se debe?
    R: Esta mitigación está diseñada para las impresoras de red y no las impresoras locales, por lo que este comportamiento es esperado.

    Nota Si recibe el mensaje "¿Confía en esta impresora?", reemplace el controlador actual por un controlador compatible con paquetes o instale los archivos de controlador en el almacén de la unidad local antes de instalar la impresora local. Para obtener más información, consulte la sección Asistencia para los administradores de red.

Cómo obtener e instalar la actualización


Método 1: Windows Update

Esta actualización está disponible a través de Windows Update. Cuando active las actualizaciones automáticas, esta actualización se descargará e instalará automáticamente. Para obtener más información sobre cómo activar la actualización automática, consulte  Obtener actualizaciones de seguridad automáticamente.

Nota La actualización para Windows RT 8.1 está disponible únicamente a través de Windows Update.

Más información