Cómo deshabilitar el servicio spoolsv.exe

Peritajes y auditorias informáticas

Cómo deshabilitar el servicio spoolsv.exe

junio 30, 2021 Blog Ciberseguridad CVE Vulnerabilidades 0

El pasado 8 de junio de 2021 se publicaba un CVE-2021-1675 con la Vulnerabilidad en Windows Print Spooler. Éste permite hacer una escalada de Privilegios de Windows Print Spooler y se puede usar para cargar archivos DLL en un host remoto de Windows y un usuario puede ejecutar código como SYSTEM en el controlador de dominio. Este problema se puede aprovechar para obtener SYSTEM en el controlador de dominio y siempre que tenga el servicio Print Spooler habilitado.

¿Qué es spoolsv.exe?

SpoolSv significa Servicio Spooler. El archivo principal y responsable de la ejecución del servicio es Spoolsv.exe – el proceso encargado de almacenar en caché los trabajos de impresión en la memoria del sistema como archivos de imagen. Esto es necesario porque la mayoría de las impresoras no están equipadas para analizar y descifrar gráficos y fuentes.

Este servicio ha dado mucho quebradero de cabeza a muchos administradores de sistemas. Suele dar problemas en Windows Server 2003 (¿Aún lo tienes?) y ha sido frecuentemente usado por ciberdelincuentes para malware.

El archivo real spoolsv.exe es un proceso seguro del sistema Microsoft Windows, llamado “Spooler SubSystem App”. Sin embargo, los desarrolladores de programas malware, tales como virus, gusanos informáticos y troyanos le dan deliberadamente a su proceso el mismo nombre del archivo para no ser detectados.

elarchivo.es

¿Cómo deshabilitarlo para no ser vulnerable nuestro servidor Windows?

Debemos seguir los siguientes pasos:

  1. Abre la aplicación Servicios presionando Windows + R, escribiendo “services.msc” y presionando Enter.
  1. Busque “Print Spooler” en la lista de servicios y haga doble clic en él.
  2. En la ventana de propiedades, en la pestaña General , vaya a la segunda sección titulada “Sección de estado del servicio”  y haga clic en el  botón DETENER para deshabilitar el servicio.

Esto no permitirá imprimir, pero estoy convencido de que no estabais usando el servidor de Windows para esa función. Cualquier duda podéis dejar un comentario en el artículo.

Otra forma de hacerlo desde el CMD…

  1. Invoque el cuadro de diálogo “Ejecutar” en modo administrador (importante)
  2. En la ventana del símbolo del sistema, escriba el siguiente comando y presione Enter para habilitar el servicio de cola de impresión:
net start spooler

De igual manera para deshabilitarlo:

net stop spooler

Vídeo de la prueba de concepto

Link: https://video.twimg.com/tweet_video/E5GOlYUXwAUyqzU.mp4

 

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

La web de Quantika14.com, titularidad de Quantika14 S.L, con Domicilio social: Calle Conde de Cifuentes 6, local B, Sevilla, España, CIF número B90233966 y correo electrónico de contacto DPD@quantika14.com. usa cookies propias y de terceros en este sitio web para gestionar las sesiones de los usuarios, mejorar el funcionamiento, analizar el uso de la web y solventar posibles incidencias de la web. Si continúa navegando se considera que acepta su uso. Visite nuestra política de cookies para modificar su configuración o conocer más al respecto. ACEPTAR
Aviso de cookies