Compreendendo a 'vulnerabilidade PrintNightmare' que ameaçava a segurança dos usuários do Windows

A falha pode ter levado à perda total de confidencialidade e integridade para um usuário

 Por Web Desk 08 de julho de 2021 20:45 IST

A Microsoft recentemente apresentou um patch de emergência para o Windows após uma falha, que ameaçou comprometer a segurança dos usuários. 

Poucos dias após a identificação da falha, foram lançados patches para o Windows Server 2019, Windows Server 2012 R2, Windows Server 2008, Windows 8.1, Windows RT 8.1 e diferentes versões do Windows 10. Embora a Microsoft ainda não tenha lançado patches para o Windows Server 2012, Windows Server 2016 e Windows 10 Versão 1607, a empresa garantiu que as atualizações para essas versões serão lançadas em breve.

A vulnerabilidade

A falha no servidor, agora chamada de 'vulnerabilidade PrintNightmare', faz jus ao seu apelido, pois permite que um usuário externo instale programas, modifique dados em um sistema e crie novas contas com privilégios de administrador do sistema.

A falha permite que o invasor assuma facilmente a conta do domínio. Segundo relatos, a própria Microsoft admitiu que "os controladores de domínio são afetados se o serviço de spooler de impressão for habilitado". 

"Existe uma vulnerabilidade de execução remota de código quando o serviço Windows Print Spooler executa indevidamente operações de arquivo com privilégios. Um invasor que explorar com êxito esta vulnerabilidade pode executar código arbitrário com privilégios SYSTEM. Um invasor pode então instalar programas; visualizar, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário ", disse a Microsoft em um comunicado.

A falha aproveita a função 'RpcAddPrinterDriverEx ()', que é usada para instalar impressoras em um sistema. O PrintNightmare aproveita essa função especificando um arquivo de driver malicioso armazenado em um servidor local ou remoto, permitindo que o invasor faça com que o serviço Print Spooler execute código arbitrário.

Os invasores obtêm controle imediato sobre os sistemas críticos, permitindo que explorem o servidor. O resultado possivelmente é a perda total de confidencialidade e integridade para um usuário.

A falha no serviço Windows Print Spooler foi identificada após uma publicação acidental de código de exploração de prova de conceito (PoC).

A Microsoft revelou que "a vulnerabilidade existia antes da atualização de segurança de 8 de junho de 2021".

Os dados da pesquisa de ameaças do ExtraHop sugeriram que 93 por cento dos servidores poderiam ser vulneráveis ​​à ameaça, tornando-a um dos problemas de segurança mais graves.

A Microsoft reagiu rapidamente, mesmo quando a Agência de Segurança de Infraestrutura e Cibersegurança dos EUA (CISA), o Centro de Coordenação CERT (Cert CC) e outras agências solicitaram uma ação urgente contra essa vulnerabilidade crítica de execução remota de código (RCE).

Depois que a ameaça foi identificada, a Microsoft emitiu um comunicado dizendo "Recomendamos que você instale essas atualizações imediatamente."

"Observe que as atualizações de segurança lançadas a partir de 6 de julho de 2021 contêm proteções para CVE-2021-1675 e a exploração de execução remota de código adicional no serviço Windows Print Spooler conhecido como 'PrintNightmare', documentado em CVE-2021-34527," Disse a Microsoft.