Header Ads Widget

Ticker

6/recent/ticker-posts

La pesadilla de la impresión de Windows continúa para la empresa

KB5005652, destinado a solucionar las vulnerabilidades de "PrintNightmare", está provocando que se solicite a algunos usuarios empresariales que reinstalen los controladores de impresión o instalen nuevos controladores, lo que no pueden hacer sin privilegios de administrador.


Está bien, Microsoft, tenemos que hablar. O más bien, necesitamos imprimir. Realmente lo hacemos. No todos estamos sin papel aquí en el mundo de los negocios; muchos de nosotros todavía necesitamos hacer clic en el botón Imprimir dentro de nuestras aplicaciones comerciales e imprimir cosas en una hoja de papel real, o enviar algo a una impresora PDF. Pero durante los últimos meses, ha hecho que sea casi imposible mantenerse completamente parcheado y seguir imprimiendo.

Caso en cuestión: las actualizaciones de seguridad de agosto.

Microsoft realizó un cambio en la forma en que se manejan las impresoras de directiva de grupo cuando cambió el comportamiento predeterminado de Apuntar e imprimir para abordar las vulnerabilidades "PrintNightmare" que afectan al servicio de cola de impresión de Windows. Como se indica en KB5005652 , “de forma predeterminada, los usuarios que no sean administradores ya no podrán hacer lo siguiente utilizando Apuntar e imprimir sin una elevación de privilegios al administrador:

  • Instale nuevas impresoras usando controladores en una computadora o servidor remoto
  • Actualice los controladores de impresora existentes utilizando controladores de una computadora o servidor remotos "

Sin embargo, lo que estamos viendo en la lista PatchManagement.org es que cualquier persona con un controlador de impresión de estilo V3 solicita a sus usuarios que reinstalen los controladores o instalen nuevos controladores. Más precisamente, cuando el servidor de impresión está en un servidor Server 2016, las impresoras se eliminan a través de la Política de grupo y el controlador de impresora del proveedor es un controlador V3, está activando la reinstalación de los controladores de impresión. También estamos viendo que cuando el parche está en la estación de trabajo y no en el servidor, está provocando una reinstalación de los controladores de impresión.

Dado que es probable que las empresas mantengan a los usuarios sin derechos de administrador para limitar el movimiento lateral (y, francamente, porque Microsoft nos ha dicho a lo largo de los años que correr con derechos de administrador era algo malo), ahora tenemos que decidir darles a los usuarios un administrador local. derechos, realice un ajuste de clave de registro que debilite la seguridad o revertir el parche hasta que Microsoft descubra qué salió mal.

Aquellos que quieran realizar el cambio de registro pueden abrir una ventana del símbolo del sistema con permisos elevados e ingresar lo siguiente:

reg add "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint" /v RestrictDriverInstallationToAdministrators /t REG_DWORD /d 0 /f



Llegando al meollo del problema de impresión
Microsoft ha reconocido en privado en un caso de soporte que "la solicitud de administración / instalación para los controladores ya instalados y las impresoras ya instaladas es un comportamiento inesperado". Continuó diciendo: "Hemos recibido nuevos informes de que esto también está afectando a los clientes donde los controladores / impresoras, etc. ya están instalados y ya está bajo investigación, todavía no tenemos un tiempo estimado de reparación, pero estamos trabajando en ello." Pero si bien la compañía puede estar reconociendo en privado que hay un problema con la impresión, no lo muestra en el panel de control de la versión de salud de Windows .

Anthony J. Fontanez ha escrito en su blog aquí y aquí con una gran discusión sobre lo que está sucediendo. Como señala, una de las soluciones es asegurarse de tener los controladores de impresora V4 implementados en su red. Pero ahí radica un problema: a menudo es extremadamente difícil determinar si los controladores son V3 o V4. En el caso de las impresoras Hewlett Packard, PCL 6 denota V3, mientras que PCL-6 (observe el guión) denota V4. Es posible que deba implementar los controladores en una máquina virtual de prueba para determinar exactamente qué controlador de impresora tiene.

Si el proveedor de su impresora no tiene una versión V4 del controlador de impresora, asegúrese de comunicarse con su proveedor, especialmente si tiene contratos de arrendamiento activos, y exíjale que presente un controlador revisado. Como escribió Fontanez, “los controladores V4 utilizan un controlador específico del modelo en el lado del servidor de impresión. Cuando los clientes se conectan a una impresora en un servidor utilizando un controlador V4, no descargan ningún controlador. En su lugar, utilizan un controlador genérico precargado llamado 'Apuntar e imprimir mejorado de Microsoft' ”. Sin embargo, algunos administradores de red han indicado que los controladores V4 tampoco son la solución.

Pero incluso si pudiera instalar las actualizaciones de agosto en su red, eso no significa que esté completamente protegido contra las vulnerabilidades de la cola de impresión. Hay otro CVE ( CVE-2021-36958 ) para el que no tenemos parche, y la única solución es desactivar la cola de impresión. Todo lo que sabemos oficialmente en este momento es que “Existe una vulnerabilidad de ejecución remota de código cuando el servicio Windows Print Spooler realiza incorrectamente operaciones con archivos privilegiados. Un atacante que aprovechara con éxito esta vulnerabilidad podría ejecutar código arbitrario con privilegios de SISTEMA. Entonces, un atacante podría instalar programas; ver, cambiar o eliminar datos; o cree nuevas cuentas con todos los derechos de usuario. La solución para esta vulnerabilidad es detener y deshabilitar el servicio de cola de impresión ".

Si es un consumidor, el problema no es tan sombrío. Todavía no he visto que un usuario doméstico o consumidor tenga problemas con la impresión o el escaneo después de que se instalaron las actualizaciones de agosto. Dicho esto, todavía somos vulnerables al CVE-2021-36958 sin parches . Si ya tiene instaladas las actualizaciones de agosto y no tiene ningún efecto secundario con la impresión o el escaneo, deje instaladas las actualizaciones de seguridad de agosto.

Entonces, ¿Qué puede hacer en este momento si tiene un negocio y tiene que imprimir?

Revise qué servidores y computadoras tienen que imprimir absolutamente. Claramente, los problemas de seguridad fundamentales con el código del servidor de impresión aún no se han solucionado, y no parece que se solucionen pronto.
Considere imprimir un derecho específico que otorgue solo a aquellos en su red que realmente lo necesiten, en lugar de tener el servicio de cola de impresión habilitado automáticamente en toda su red.
Deshabilite el servicio en todos los controladores de dominio y manténgalo así hasta nuevo aviso.
Limite los servidores de su red que tienen funciones de servidor de impresión.
Intente limitar los servidores lo mejor que pueda para poder monitorear y limitar el tráfico a estas máquinas.
Desactive la función del servidor de impresión en las estaciones de trabajo, a menos que tengan que imprimir.
Reevalúe su flujo de trabajo y procesos y vea si hay formas de trasladar dichos flujos comerciales a procesos basados ​​en la web o algo que no dependa del papel, el tóner y las impresoras.

Una última palabra para Microsoft
Microsoft, necesita hacerlo mejor de lo que está haciendo ahora. Porque todavía imprimimos. Y durante el último año, ha dejado de imprimir demasiadas veces. Me doy cuenta de que es posible que no tenga papel y se esté moviendo a todo lo electrónico, pero tenga un poco más de conciencia de que sus clientes empresariales aún no lo han logrado.

Sus clientes no deberían tener que tomar la dolorosa decisión de eliminar la actualización para funcionar en su negocio, o peor aún, tener que realizar un ajuste de registro, lo que permite que la empresa imprima pero expone a la empresa a vulnerabilidades como resultado.

He estado parcheando sistemas durante más de 20 años, y si lo mejor que podemos decirle a una empresa en este momento es "desinstalar la actualización para seguir funcionando", no hemos arreglado nada en 20 años. de actualización. Las empresas aún no pueden parchear de inmediato como usted nos insta a que lo hagamos. Todavía tenemos que esperar para ver si hay efectos secundarios y lidiar con los efectos secundarios.

Entonces, ¿Microsoft? Si desea que parcheemos de inmediato, debe darse cuenta de que muchos de nosotros todavía necesitamos imprimir.

Publicar un comentario

0 Comentarios