This post is also available in: Português
Para corrigir a vulnerabilidade grave do servidor Windows Print Spooler, chamada de PrintNightmare, a Microsoft lançou nesta terça-feira, 6, a atualização de segurança de emergência KB5004945.
Porém, segundo o site BleepingComputer, o patch não está completo ainda, e a vulnerabilidade pode ser explorada localmente para obter privilégios de sistema.
Rastreado como CVE-2021-34527, o bug de execução remota de código (RCE) possibilita que pessoas mal-intencionadas consigam assumir os servidores afetados.
Os cibercriminosos poderiam instalar programas, exibir, alterar ou excluir dados usando privilégios de administrador. Além disso, poderiam também criar contas com direito total ao sistema.
Abaixo estão os links para instalar as atualizações de segurança de emergência out-of-band (fora de época) da Microsoft, separados de acordo com a versão do sistema utilizado pelo usuário.
- Windows 10, versões 21H1, 20H1 e 2004 (KB5004945)
- Windows 10, versão 1909 (KB5004946)
- Windows 10, versão 1809 e Windows Server 2019 (KB5004947)
- Windows 10, versão 1507 (KB5004950)
- Windows 8.1 e Windows Server 2012 (Rollup mensal KB5004954 / Só segurança KB5004958)
- Windows 7 SP1 e Windows Server 2008 R2 SP1 (Rollup mensal KB5004953 / Só segurança KB5004951)
- Windows Server 2008 SP2 (Rollup Mensal KB5004955 / Só segurança KB5004959).
Ainda não há atualização para o Windows 10, version 1803.
O Patch corrige apenas a exploração remota
Após o lançamento da atualização preliminar, o pesquisador de segurança Matthew Hhickey fez uma observação muito importante em sua conta do Twitter: o patch corrige apenas o RCE, mas não um vetor de escalonamento de privilégios locais (LPE), que pode ser utilizado mesmo com os patches de segurança instalados.
Isso significa que o patch está incompleto, pois cibercriminosos ainda poderiam usar a opção LPE para obter privilégios de administrador.
A recomendação da Microsoft é interromper e desabilitar o serviço Print Spooler ou desligar a impressão remota de entrada, desativando a Diretiva de Grupo para bloquear eventuais ataques remotos.
Fonte: BleepingComputer.
This post is also available in: Português