No final de junho, pesquisadores de segurança estavam discutindo ativamente uma vulnerabilidade no serviço Windows Print Spooler, que apelidaram de PrintNightmare. O patch, lançado em junho, deveria corrigir a vulnerabilidade, e fez – mas, na verdade, o problema envolveu duas falhas. O patch fechou a CVE-2021-1675, mas não a CVE-2021-34527. Em computadores ou servidores Windows não corrigidos, os malfeitores podem usar as vulnerabilidades para obter controle porque o Print Spooler está ativo por padrão em todos os sistemas Windows.
A Microsoft usa o nome PrintNightmare para a 34527, mas não para a 1675; no entanto, muitos outros o usam para ambas as vulnerabilidades.
Nossos especialistas estudaram ambas as falhas em detalhes e certificaram-se de que o as soluções Kaspersky, com sua tecnologia de prevenção de exploit e proteção baseada em comportamento, evita tentativas de explorá-las.
Porque o PrintNightmare é perigoso
O PrintNightmare é considerado extremamente perigoso por duas razões principais. Primeiro, o Print Spooler sendo habilitado por padrão em todos os sistemas baseados no Windows, incluindo controladores de domínio e computadores com privilégios de administrador do sistema, torna todos vulneráveis.
Em segundo lugar, um mal-entendido entre equipes de pesquisadores (e, talvez, um erro simples) levou à publicação online de um exploit prova-de-conceito para PrintNightmare. Os pesquisadores envolvidos tinham certeza de que o patch de junho da Microsoft já havia resolvido o problema, então compartilharam seu trabalho com a comunidade de especialistas. No entanto, o exploit continuou perigoso. O PoC foi removido rapidamente, mas não antes que muita gente o copiasse, motivo pelo qual nossos especialistas preveem aumento nas tentativas de explorar o PrintNightmare.
As vulnerabilidades e outras brechas para ataques
CVE-2021-1675 é uma vulnerabilidade de elevação de privilégio. Ela permite que um invasor com poucos privilégios de acesso crie e use um arquivo DLL malicioso para executar uma exploração e obter privilégios mais elevados. No entanto, isso só é possível se o invasor já tiver acesso direto ao computador vulnerável em questão. A Microsoft considera esta vulnerabilidade de risco relativamente baixo.
Já a falha 34527 é significativamente mais perigosa: embora semelhante, é uma vulnerabilidade de execução remota de código (RCE), que permite a injeção remota de DLLs. A Microsoft já viu os exploits dessa vulnerabilidade à solta e o Securelist fornece uma descrição técnica mais detalhada das vulnerabilidades e de suas técnicas de exploração.
Como os malfeitores podem usar o PrintNightmare para acessar dados na infraestrutura corporativa, também podem usar o exploit para ataques de ransomware.
Como proteger sua infraestrutura contra o PrintNightmare
Seu primeiro passo para se proteger contra ataques PrintNightmare é instalar os dois patches – junho e julho – da Microsoft. A última página também fornece algumas soluções alternativas da Microsoft no caso de você não conseguir usar os patches – e um deles nem mesmo requer a desativação do Windows Print Spooler.
Dito isso, sugerimos fortemente desativar o Print Spooler em computadores que não precisam dele. Em particular, é altamente improvável que os servidores do controlador de domínio precisem da capacidade de imprimir.
Além disso, todos os servidores e computadores precisam de soluções de segurança de endpoint confiáveis que evitam tentativas de exploração de vulnerabilidades conhecidas e desconhecidas, incluindo a PrintNightmare.