PrintNightmare (CVE-2021-34527)
¿Qué es PrintNightmare (CVE-2021-34527)?
PrintNightmare (CVE-2021-34527)Vulnerabilidad de 2021 en el servicio Print Spooler de Windows que permitía a un usuario sin privilegios instalar un driver de impresión malicioso y ejecutar código con privilegios de SYSTEM.
PrintNightmare (CVE-2021-34527) es un fallo en el servicio Print Spooler de Windows (spoolsv.exe) que no restringía correctamente el acceso a la llamada RPC RpcAddPrinterDriverEx(). Al apuntar el spooler a una DLL maliciosa de driver de impresora alojada en un recurso SMB/UNC remoto, cualquier usuario de dominio autenticado podía hacer que el spooler —que se ejecuta con privilegios de SYSTEM— cargara y ejecutara esa DLL, logrando tanto una escalada de privilegios local como, contra un spooler remoto, ejecución remota de código completa. Dado que el Print Spooler se ejecuta por defecto en los controladores de dominio, el impacto sobre los entornos de Active Directory fue grave.
La divulgación fue caótica: comparte la misma ruta de código RpcAddPrinterDriverEx que CVE-2021-1675, una LPE «importante» parcheada en junio de 2021. Cuando los investigadores publicaron código de prueba de concepto a finales de junio de 2021 —creyendo que apuntaba a la ya parcheada CVE-2021-1675— en realidad habían desencadenado una RCE distinta y sin parchear, que Microsoft reasignó como CVE-2021-34527. Lo crucial es que el parche no detenía la explotación allí donde Point and Print estaba configurado con NoWarningNoElevationOnInstall = 1.
Microsoft publicó actualizaciones fuera de ciclo en julio de 2021 y guías de endurecimiento del registro. Defensas: aplicar todos los parches relacionados con PrintNightmare, desactivar el Print Spooler en los servidores que no imprimen (especialmente los controladores de dominio), restringir la instalación de drivers de Point and Print a los administradores y bloquear el SMB saliente hacia hosts no confiables.
flowchart TD
A[Usuario de dominio sin privilegios] --> B[Llamada RPC a spoolsv.exe<br/>RpcAddPrinterDriverEx]
B --> C[El spooler obtiene la DLL del driver<br/>desde un recurso SMB/UNC del atacante]
C --> D{¿Restricciones de<br/>Point and Print?}
D -->|Sin restricción| E[El spooler carga la DLL como SYSTEM]
D -->|Solo administradores| F[Instalación bloqueada]
E --> G[Ejecución de código como SYSTEM]
G --> H[Escalada de privilegios local]
G --> I[Ejecución remota de código en<br/>el controlador de dominio]● Ejemplos
- 01
Grupos de ransomware que abusan de PrintNightmare para elevar a SYSTEM y desplegar payloads en controladores de dominio.
- 02
Operadores de red-team que usan PrintNightmare para escalar de un usuario de dominio estándar a administrador local.
● Preguntas frecuentes
¿Qué es PrintNightmare (CVE-2021-34527)?
Vulnerabilidad de 2021 en el servicio Print Spooler de Windows que permitía a un usuario sin privilegios instalar un driver de impresión malicioso y ejecutar código con privilegios de SYSTEM. Pertenece a la categoría de Vulnerabilidades en ciberseguridad.
¿Qué significa PrintNightmare (CVE-2021-34527)?
Vulnerabilidad de 2021 en el servicio Print Spooler de Windows que permitía a un usuario sin privilegios instalar un driver de impresión malicioso y ejecutar código con privilegios de SYSTEM.
¿Cómo defenderse de PrintNightmare (CVE-2021-34527)?
Las defensas contra PrintNightmare (CVE-2021-34527) combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para PrintNightmare (CVE-2021-34527)?
Nombres alternativos comunes: CVE-2021-34527, Spoolsv RCE.