Pular para o conteúdo principal

Compartilhe

Fim do anonimato: GDID (Identificador Global de Dispositivo do Windows)

BOMBAZO QUE ESTÁ ROMPIENDO INTERNET! A Microsoft entregou ao FBI a “impressão digital impossível de apagar” do Windows e caçaram Peter Stokes “Bouquet” do Scattered Spider Documentos judiciais recém-vazados confirmam que o gigante de Redmond ajudou o FBI a identificar o hacker usando o GDID (Identificador Global de Dispositivo do Windows). Esse código único é gerado com cada instalação do Windows e não pode ser alterado mesmo que você use VPN, apague tudo ou mude de conta. É como uma tatuagem digital permanente no seu PC. Com esse GDID, o FBI acessou: • Todo o seu histórico de IPs • Cada página que você visitou • Os jogos que você jogava e quanto tempo • As contas sociais abertas (Snapchat, Facebook, Apple…) O erro fatal do hacker: criou a conta ngrok que usou para o ataque à Tiffany & Co. em maio de 2025 com VPN… mas a partir do mesmo Windows com o mesmo GDID. Embora o IP terminasse em .168 (VPN), os registros da Microsoft mostraram que o GDID 6755467234350028 entrou ex...

Compreendendo a 'vulnerabilidade PrintNightmare' que ameaçava a segurança dos usuários do Windows

Compreendendo a 'vulnerabilidade PrintNightmare' que ameaçava a segurança dos usuários do Windows

A falha pode ter levado à perda total de confidencialidade e integridade para um usuário

Contrato Pentágono-Nuvem

A Microsoft recentemente apresentou um patch de emergência para o Windows após uma falha, que ameaçou comprometer a segurança dos usuários. 

Poucos dias após a identificação da falha, foram lançados patches para o Windows Server 2019, Windows Server 2012 R2, Windows Server 2008, Windows 8.1, Windows RT 8.1 e diferentes versões do Windows 10. Embora a Microsoft ainda não tenha lançado patches para o Windows Server 2012, Windows Server 2016 e Windows 10 Versão 1607, a empresa garantiu que as atualizações para essas versões serão lançadas em breve.

A vulnerabilidade

A falha no servidor, agora chamada de 'vulnerabilidade PrintNightmare', faz jus ao seu apelido, pois permite que um usuário externo instale programas, modifique dados em um sistema e crie novas contas com privilégios de administrador do sistema.

A falha permite que o invasor assuma facilmente a conta do domínio. Segundo relatos, a própria Microsoft admitiu que "os controladores de domínio são afetados se o serviço de spooler de impressão for habilitado". 

"Existe uma vulnerabilidade de execução remota de código quando o serviço Windows Print Spooler executa indevidamente operações de arquivo com privilégios. Um invasor que explorar com êxito esta vulnerabilidade pode executar código arbitrário com privilégios SYSTEM. Um invasor pode então instalar programas; visualizar, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário ", disse a Microsoft em um comunicado.

A falha aproveita a função 'RpcAddPrinterDriverEx ()', que é usada para instalar impressoras em um sistema. O PrintNightmare aproveita essa função especificando um arquivo de driver malicioso armazenado em um servidor local ou remoto, permitindo que o invasor faça com que o serviço Print Spooler execute código arbitrário.

Os invasores obtêm controle imediato sobre os sistemas críticos, permitindo que explorem o servidor. O resultado possivelmente é a perda total de confidencialidade e integridade para um usuário.

A falha no serviço Windows Print Spooler foi identificada após uma publicação acidental de código de exploração de prova de conceito (PoC).

A Microsoft revelou que "a vulnerabilidade existia antes da atualização de segurança de 8 de junho de 2021".

Os dados da pesquisa de ameaças do ExtraHop sugeriram que 93 por cento dos servidores poderiam ser vulneráveis ​​à ameaça, tornando-a um dos problemas de segurança mais graves.

A Microsoft reagiu rapidamente, mesmo quando a Agência de Segurança de Infraestrutura e Cibersegurança dos EUA (CISA), o Centro de Coordenação CERT (Cert CC) e outras agências solicitaram uma ação urgente contra essa vulnerabilidade crítica de execução remota de código (RCE).

Depois que a ameaça foi identificada, a Microsoft emitiu um comunicado dizendo "Recomendamos que você instale essas atualizações imediatamente."

"Observe que as atualizações de segurança lançadas a partir de 6 de julho de 2021 contêm proteções para CVE-2021-1675 e a exploração de execução remota de código adicional no serviço Windows Print Spooler conhecido como 'PrintNightmare', documentado em CVE-2021-34527," Disse a Microsoft.

Comentários

Manual de Fontes Abertas

CLICA

Pericia Digital

Como usar um Agente OSINT IA

Postagens mais visitadas