This post is also available in: Português
Pesquisadores de segurança na China revelaram acidentalmente um bug zero-day crítico do Windows, que foi apelidado de “PrintNightmare”.
Aparentemente, eles se confundiram a respeito de uma falha corrigida nas últimas atualizações do Windows e divulgaram um código de ataque para uma vulnerabilidade crítica que ainda está aberta no sistema.
A prova de conceito para uma vulnerabilidade crítica de segurança do Windows, que permite a execução remota de código (RCE), foi lançada no GitHub na terça-feira pela empresa Sangfor Technologies, sediada em Shenzhen. Apesar de ter sido retirada do ar em poucas horas, o código foi copiado e ainda está circulando na plataforma.
O engano dos especialistas que publicaram o código de ataque ao bug teria acontecido porque a Microsoft corrigiu recentemente uma falha no “Print Spooler” (CVE-2021-1675), um componente que gerencia trabalhos enviados a impressoras, e eles presumiram ser a mesma.
Como o CVE-2021-1675 já havia sido corrigido, eles não viram mal em liberar detalhes antes da data pretendida para o Black Hat USA, em agosto.
Agora, existe uma vulnerabilidade zero-day amplamente difundida no Print Spooler, com servidores de controlador de domínio particularmente em risco. O controle remoto deles pode dar aos cibercriminosos livre aceso às redes corporativas.
Embora a autenticação seja necessária primeiro, essa é uma barreira cada vez mais baixa para os invasores, dado o volume de credenciais violadas para RDP e outros sistemas na dark web.
O vice-presidente global de pesquisa de segurança da New Net Technologies (NNT), Dirk Schrader, disse:
“Existem 40 entradas na lista de produtos afetados da Microsoft, do Windows 7 ao Windows 10 e do Server 2008 ao Server 2019. Dada essa ampla superfície, é provável que essa vulnerabilidade se torne um elemento na cadeia de ferramentas das famílias de malware atuais”.
O cientista de pesquisa da Sophos, Paul Duckin, disse que a Microsoft poderia lançar uma atualização para consertar isso antes do Patch de julho, que ocorrerá na terça-feira, dia 13. Segundo ele:
“Cuidado com o path e implante-o assim que puder, uma vez que ele for lançado. Até então, parece que desativar o print spooler em computadores vulneráveis é uma solução satisfatória.
Se você tiver servidores em que seja absolutamente necessário deixar o print spooler em execução, sugerimos que limite o acesso à rede a esses servidores o mais estritamente possível, mesmo que isso signifique que alguns de seus usuários tenham um inconveniente temporário”.
Ele ainda acrescentou que se houver servidores em que o Print Spooler não seja necessário, ele deve ser desligado mesmo depois que um patch estiver disponível para reduzir a superfície de ataque corporativo.
Como se proteger dessa vulnerabilidade?
Esse bug não deve representar um risco imediato para os usuários domésticos, mas empresas precisam tomar muito cuidado.
Um malware só poderia explorar essa falha depois de já ter contaminado o computador e, por isso, as precauções rotineiras contra malwares são eficazes para se proteger.
Em redes corporativas, a situação é muito mais grave. Não é incomum que diversos computadores em rede sejam acessíveis pelas mesmas credenciais de acesso. Dessa forma, a invasão de um computador pode permitir que a falha seja usada para atacar outras máquinas.
Desabilitar o serviço Print Spooler ajuda a impedir a exploração da falha, mas impede que o Windows imprima qualquer documento. Impressores virtuais (como “imprimir para PDF), também ficam indisponíveis.
Até o momento, não há uma data para a Microsoft corrigir esta vulnerabilidade antes do patch de 13 de julho, mas a empresa ocasionalmente divulga atualizações emergenciais fora do cronograma mensal.
Fontes: ThreatPost, Microsoft, CISA.
This post is also available in: Português
