Micropatches para PrintNightmare estão disponíveis na plataforma 0patch

Micropatches para PrintNightmare estão disponíveis na plataforma 0patch para mitigar a falha zero day no serviço Windows Print Spooler.

Os micropatches, não oficiais e gratuitos, que tratam da vulnerabilidade de dia zero do PrintNightmare ativamente explorada no serviço Windows Print Spooler estão disponíveis por meio da plataforma 0patch.

O código com bugs por trás desse bug de execução remota de código (rastreado como CVE-2021-34527) está presente em todas as versões do Windows, com a Microsoft ainda investigando se a vulnerabilidade pode ser explorada e explorada em todas elas.

O CVE-2021-34527 permite que invasores assumam os servidores afetados por meio de RCE com privilégios de SISTEMA, permitindo que instalem programas, exibam, alterem ou excluam dados e criem novas contas com direitos totais de usuário.

O bug foi inicialmente documentado pela Microsoft como a abertura de um EoP (elevation of privilege) em praticamente todas as versões do Windows com suporte, desde o Windows 7 SP1 até o Server 2019. Versões ARM64 do Windows, compilações Server Core (instalações minimalistas de produtos Windows Server) e até mesmo Windows RT 8.1 fizeram parte da lista de plataformas afetadas.

Mas em 21 de junho de 2021, a Microsoft atualizou a página de atualização de segurança CVE-2021-1675 para admitir que o bug também poderia ser usado para RCE (execução remota de código), tornando-o uma vulnerabilidade mais séria do que uma falha apenas EoP.

Mesmo que nenhuma atualização de segurança esteja disponível para resolver a falha de segurança do PrintNightmare no momento, a Microsoft compartilhou medidas de mitigação para impedir que invasores comprometam sistemas vulneráveis ​​e está trabalhando em uma correção.

É aqui que entra o serviço de micropatching 0patch, com micropatches gratuitos para as versões do Windows Server 2019, 2016, 2012 (atualizado com as atualizações de junho de 2021) e 2008 R2 (com as atualizações de janeiro de 2020 instaladas e nenhuma atualização de segurança estendida).

https://twitter.com/0patch/status/1410956765873778692?s=20

De acordo com o 0patch, “alguns dos patches acima podem não ter sido lançados ainda no momento da redação deste artigo, mas serão nas próximas horas.“

Em notícias relacionadas, a CISA(Cybersecurity and Infrastructure Security Agency) emitiu uma notificação sobre o PrintNightmare aconselhando os administradores a desabilitar o serviço Windows Print Spooler em servidores não usados ​​para impressão “CISA encoraja os administradores para desativar o serviço de spooler de impressão do Windows em Controladores e sistemas de domínio que não imprimem“,  disse a agência federal norte-americana.

De acordo com as recomendações da Microsoft, o serviço Print Spooler deve ser desabilitado em todos os controladores de domínio e sistemas de administração do Active Directory por meio de um objeto de política de grupo devido ao aumento da exposição a ataques. A Microsoft acrescenta que o serviço deve ser desabilitado em todos os servidores que não o exigem para mitigar ataques futuros devido a esses riscos elevados de o serviço de impressão ser visado, uma vez que é habilitado por padrão na maioria dos clientes Windows e plataformas de servidor.

CERT/CC has released a Vulnerability Note flagging a critical remote code execution vulnerability “PrintNightmare“ in the Windows Print spooler service. Administrator action is required to prevent exploitation. Learn more at [https://t.co/kaAwOuASd8]. #Cybersecurity #Infosec

— US-CERT (@USCERT_gov) June 30, 2021

Até que a Microsoft resolva o dia zero do PrintNightmare, desabilitar o serviço Print Spooler é a maneira mais simples de garantir que os atores da ameaça – e grupos de ransomware em particular – não aproveitem a ocasião para violar as redes corporativas.. O conselho da empresa leva em consideração o fato de que este serviço é habilitado por padrão na maioria dos clientes Windows e plataformas de servidor, aumentando drasticamente o risco de ataques futuros direcionados a sistemas vulneráveis.

Até que as atualizações oficiais de segurança estejam disponíveis, aplicar os micropatches 0patch ou implementar as atenuações fornecidas pela Microsoft deve impedir que invasores violem sua rede usando exploits PrintNightmare.

Fonte: BleepingComputer & Blog 0patch

Veja também:

• PrintNightmare – zero day EoP combinado com RCE – divulgado por “engano” por pesquisadores chineses
• Relatório de Segurança da Força de Trabalho Remota 2021
• O que são contêineres de nuvem e como eles funcionam?
• Novo ransomware baseado em REvil
• AWS adquire serviço de comunicações criptografadas Wickr
• Gestão de segurança: por que apostar?
• CADE firma parceria com ANPD
• 76% das empresas utilizam dois ou mais provedores de nuvem
• Idec notifica Droga Raia por cadastro de biometria de clientes
• Perdas com BEC chegam a $1,8 bilhão conforme as táticas evoluem
• Falha de 7 anos no Polkit permite que usuários Linux obtenham acesso Root
• Fleury sofre ataque e impacta diagnósticos de clientes (atualizado)