Windows PrintNightmare, a nova vulnerabilidade de dia zero da Microsoft

gurinho

A Microsoft anuncia uma nova vulnerabilidade: o Windows PrintNightmare é um bug de dia zero usado atualmente por invasores , para o qual ainda não há patch. O aviso da empresa anunciava a presença da vulnerabilidade, identificada pelo código CVE-2021-34527, indicando várias contra-medidas para mitigar os ataques que a exploram. A Microsoft classificou o problema como crítico e confirmou sua presença em todas as versões do Windows. O bug afeta o spooler de impressão do sistema operacional e permite que um invasor obtenha controle sobre o sistema.

Windows PrintNightmare

De acordo com o relatório da Microsoft , a vulnerabilidade permitiria a um invasor executar código malicioso remotamente usando o spooler de impressão Janelas. Este sistema se encarrega de armazenar a fila de impressão e enviar os documentos para a impressora. A função também gerencia as impressoras compartilhadas na rede e, portanto, também supervisiona as filas dos vários usuários conectados.

PrintNightmare atinge a vulnerabilidade do spooler de impressão do Windows.
PrintNightmare atinge a vulnerabilidade do spooler de impressão do Windows.

Existe uma vulnerabilidade de execução remota de código quando o serviço Windows Print Spooler executa incorretamente operações de arquivo com privilégios. Um hacker que explorar com êxito esta vulnerabilidade pode executar código arbitrário com privilégios de sistema. O hacker pode então instalar programas, visualizar, modificar ou excluir dados ou criar novas contas com direitos totais de administrador.

Microsoft

Em detalhes, o serviço Spooler executa algumas operações nos arquivos da fila de impressão de maneira inadequada, usando privilégios muito altos. Um invasor, explorando esse bug, pode executar código remotamente, explorando os privilégios do spooler, instalando programas ou excluindo dados do sistema da vítima. A função problemática é RPC-RpcAddPrinterDriverEx do executável spoolsv.exe . Isso permite que você instale o driver da impressora em um sistema, e qualquer usuário autenticado pode executá-lo especificando um driver localizado em um servidor remoto. O serviço spoolsv.exe executa código em um arquivo DLL com privilégios de sistema , e o invasor pode tirar proveito dessa dinâmica para assumir o controle da máquina.

O Windows PrintNightmare está presente em todas as versões ativas do sistema operacional.
O Windows PrintNightmare está presente em todas as versões ativas do sistema operacional.

A Microsoft também anunciou que a vulnerabilidade está sendo explorada ativamente , mas não forneceu detalhes. Pareceria então que o bug é o resultado de um erro: PrintNightmare teria sido publicado por engano pelos pesquisadores da Sangfor. O grupo desenvolveria uma exploração de prova de conceito para sistemas Windows, lançando o código no GitHub. Os pesquisadores pensaram que as vulnerabilidades relacionadas ao processo de impressão já haviam sido corrigidas, então publicaram o código, que atualmente não está mais online. Alguns invasores, no entanto, conseguiram bifurcar o projeto e usá-lo para explorar a vulnerabilidade antes de ser removido.

Como mitigar o dano

Atualmente não há patches oficiais para corrigir o bug . 0patch lançou algumas atualizações não oficiais que implementam as medidas de mitigação sugeridas pela Microsoft, mas ainda não há notícias de quaisquer atualizações de segurança da empresa. A Microsoft lançou uma nota de segurança com algumas sugestões para conter os possíveis danos:

  • os administradores de rede podem desabilitar o spooler de impressão e a impressão remota desabilitando a política de grupo “Permitir que o spooler de impressão aceite conexões de cliente”;
  • os usuários podem desabilitar o spooler forçando a parada do serviço e desativando sua ativação na inicialização do sistema.
As contra-medidas incluem a desativação do serviço de impressão.
As contra-medidas incluem a desativação do serviço de impressão.

O principal conselho do Windows é desativar o serviço para bloquear o PrintNightmare, reativando-o apenas quando necessário e usando-o o menos possível. Por enquanto , a impressão local com conexão direta ao dispositivo deve ser preferida , até que a Microsoft libere o patch para corrigir a vulnerabilidade. Em 8 de junho, a empresa lançou um patch para corrigir outro bug do spooler de impressão (semelhante a este). Embora a atualização não seja suficiente para resolver o CVE-2021-34527, ela ainda é capaz de conter outros problemas e oferecer um nível mais alto de segurança.

O artigo doWindows PrintNightmare ,a nova vulnerabilidade de dia zero da Microsoft vem do Tech CuE | Engenharia de Close-up .