Microsoft diz aos usuários para desligar o spool de impressora para proteção contra exploração de dia zero

gurinho

A Microsoft emitiu uma série de medidas de mitigação contra uma exploração de dia zero que a empresa de tecnologia diz: "os invasores estão explorando ativamente".

O exploit de dia zero, conhecido como PrintNightmare , explora uma vulnerabilidade no Windows Print Spooler e pode permitir que um invasor execute o código remotamente.

Embora não haja uma correção específica para o PrintNightmare, o comunicado da Microsoft contém duas opções que os usuários podem implantar para proteger seu sistema contra exploits potencialmente perigosos.

PrintNightmare é o trabalho de impressão do inferno

O spooler de impressão é um serviço de software do Windows que gerencia os processos de impressão do sistema. Quando você clica em imprimir, o spooler pega o trabalho de impressão recebido do software (ou sistema operacional) e garante que a impressora e seus recursos (papel, tinta etc.) estejam prontos para ação. Quando você envia vários trabalhos de impressão, o spooler os coloca na fila e gerencia a saída da impressora.

O serviço de spooler de impressão tem acesso a todo o sistema. Embora pareça inócuo, pode tornar esse serviço um alvo para invasores que procuram atacar recursos com privilégios de todo o sistema.

Nesse caso, a empresa de segurança chinesa Sangfor publicou acidentalmente um exploit de prova de conceito para um ataque de dia zero à sua página GitHub. A empresa retirou imediatamente o código, mas não antes de ser bifurcado e copiado para o ambiente.

PrintNightmare, rastreado como CVE-2021-34527 , é uma vulnerabilidade de execução remota de código. Isso significa que, se um invasor explorasse a vulnerabilidade, ele poderia teoricamente executar código malicioso em um sistema de destino. Embora você possa ser o principal alvo de tal exploração, bilhões de computadores e servidores em todo o mundo usam o Microsoft Print Spooler, e é por isso que o PrintNightmare está causando esses problemas.

Relacionado: O Melhor Software Antivírus Gratuito

A Microsoft aconselha cautelosamente a desativação do serviço de spooler de impressão

Até que uma correção específica seja encontrada, a Microsoft aconselha os usuários, empresas e organizações a desabilitar o serviço Spooler de Impressão em qualquer servidor que não exija isso.

Existem duas maneiras pelas quais as organizações podem desabilitar o serviço Print Spooler: via PowerShell ou por meio da Política de Grupo.

PowerShell

  1. Abra o PowerShell .
  2. Input Stop-Service -Name Spooler -Force
  3. Input Set-Service -Name Spooler -StartupType Desabilitado

Política de grupo

  1. Abra o Editor de Política de Grupo (gpedit.msc)
  2. Navegue até Configuração do Computador / Modelos Administrativos / Impressoras
  3. Localize a opção Permitir Spooler de Impressão para aceitar a política de conexões do cliente
  4. Defina como Desativar> Aplicar

A Microsoft não é a única organização aconselhando os usuários a desativar os serviços de spool de impressão sempre que possível. A CISA também divulgou um comunicado aconselhando uma política semelhante, incentivando "os administradores a desabilitar o serviço de spooler de impressão do Windows em controladores de domínio e sistemas que não imprimem".

Embora a Microsoft esteja reeditando este conselho sobre PrintNightmare, a empresa aconselha esta política em todos os momentos para se proteger contra intrusões inesperadas por meio deste método. Desativar o serviço de Spool de impressão usando uma Política de Grupo é a melhor maneira de garantir a segurança de todo o domínio.