Una nueva vulnerabilidad ha sido identificada que afecta a todas las versiones de Microsoft Windows. El Centro de Ciberseguridad CERT.be ha recomendado que los administradores de sistemas actualicen sus sistemas operativos a la versión más reciente disponible y aseguren la instalación del parche correspondiente para mitigar esta amenaza.
Si la implementación de parches no es viable a corto plazo, se sugiere una solución alternativa que, complementada con la aplicación del parche, puede mejorar la seguridad general de la infraestructura informática. Esta alternativa consiste en deshabilitar el servicio de cola de impresión (Print Spooler) en todas las máquinas, o, al menos, en aquellas con privilegios elevados, como controladores de dominio y sistemas administrativos. Es importante mencionar que deshabilitar este servicio impedirá la funcionalidad de impresión, que generalmente tiene un uso limitado en estos sistemas.
El procedimiento para deshabilitar el servicio de cola de impresión en Windows incluye comandos específicos. Por ejemplo, para detener el servicio y configurarlo para que no se inicie automáticamente, se pueden usar los siguientes comandos en la línea de comandos: net stop spooler && sc config spooler start=disabled. Alternativamente, en PowerShell, se puede emplear Stop-Service -Name Spooler -Force seguido de Set-Service -Name Spooler -StartupType Disabled.
En situaciones donde no sea posible desactivar el servicio, se recomienda restringir el acceso al Print Spooler a nivel de red, lo que podría implicar la creación de reglas de firewall para limitar las conexiones no autorizadas.
Además, para aumentar la capacidad de detección de intentos de explotación de esta vulnerabilidad, se pueden implementar reglas de detección como la regla SIGMA creada por Florian Roth, o seguir las recomendaciones de detección establecidas por Microsoft.
En resumen, ante esta vulnerabilidad crítica, es urgente que los administradores se actualicen y apliquen las medidas recomendadas para asegurar sus sistemas y limitar el riesgo de posibles ataques. Deshabilitar el servicio de cola de impresión, cuando sea posible, es una estrategia implementable que, si se hace correctamente, contribuirá a la seguridad de los entornos Windows.