Microsoft lança correção para o Print Nightmare!

Microsoft lança correção para o Print Nightmare, agora é preciso privilégio de administrador para instalar impressoras!

A Microsoft liberou nesta terça-feira, 10 de agosto, o Patch Tuesday referente ao mês de agosto de 2021, corrigindo os principais problemas reportados pelos usuários e vulnerabilidades identificadas pela equipe técnica da desenvolvedora. Essa versão soluciona em todas as versões do Windows a falha no spooler de impressão.

Essa brecha que permitia que terceiros obtivessem privilégios de administrador e acesso ao computador, criando problemas de segurança e colocando a privacidade do usuário em risco. O problema foi identificado como CVE-2021-34481 e contou com diversas atualizações até finalmente ser solucionado.

Microsoft tem lançado 44 correções de segurança para de August Patch Tuesday, com sete das vulnerabilidades sendo classificado como crítico. Três Zero Days foram incluídos no lançamento e 37 foram classificados como importantes. O update também corrige várias outras brechas no sistema e no navegador Microsoft Edge. A recomendação da empresa é que os usuários instalem o quanto antes essa versão a fim de manter níveis de segurança satisfatórios no sistema.

 “[…] A instalação desta atualização com as configurações padrão atenuará as vulnerabilidades documentadas publicamente no serviço Windows Print Spooler. Essa alteração entrará em vigor com a instalação das atualizações de segurança lançadas em 10 de agosto de 2021 para todas as versões do Windows e está documentada como CVE-2021-34481.” – Microsoft

Treze dos patches envolviam uma vulnerabilidade de execução remota de código, enquanto outros oito giravam em torno da divulgação de informações. 

As ferramentas afetadas incluíram .NET Core e Visual Studio, ASP.NET Core e Visual Studio, Azure, Windows Update, Windows Print Spooler Components, Windows Media, Windows Defender, Remote Desktop Client, Microsoft Dynamics, Microsoft Edge (baseado em Chromium), Microsoft Office, Microsoft Office Word, Microsoft Office SharePoint e muito mais.

Um dos patches mais proeminentes lançados no lote mais recente cobre a vulnerabilidade de execução remota de código do Windows Print Spooler, que tem sido um grande tópico de discussão desde que foi descoberto em junho. A Microsoft também enfrentou reação da comunidade de segurança por atrapalhar o lançamento de patches destinados a resolver o problema. 

Os bugs de dia zero corrigidos incluem:

  • CVE-2021-36948  Vulnerabilidade de elevação de privilégio do Windows Update Medic Service
  •  Vulnerabilidade de falsificação de LSA do Windows CVE-2021-36942
  • CVE-2021-36936  Vulnerabilidade de execução remota de código do spooler de impressão do Windows

A vulnerabilidade do Windows Update Medic Service Elevation of Privilege é a única que foi explorada, de acordo com o relatório da Microsoft, mas eles não explicam como, onde ou por quem. 

O especialista em segurança Allan Liska disse que o  CVE-2021-36948  se destacou por causa de suas semelhanças com o  CVE-2020-17070 , publicado em novembro de 2020, Obviamente, é ruim que esteja sendo explorado na natureza, mas vimos quase exatamente a mesma vulnerabilidade em novembro de 2020, mas não consigo encontrar nenhuma evidência de que isso foi explorado na natureza”, disse Liska. “Então, eu me pergunto se este é um novo foco para os atores de ameaças.

Liska acrescentou que CVE-2021-26424 é uma vulnerabilidade a ser observada porque é uma vulnerabilidade de execução remota de código do Windows TCP / IP afetando o Windows 7 a 10 e o Windows Server 2008 a 2019. Embora esta vulnerabilidade não seja listada como divulgada publicamente ou explorada em estado selvagem, a Microsoft rotulou isso como ‘Exploração mais provável’, o que significa que a exploração é relativamente trivial. Vulnerabilidades na pilha TCP / IP podem ser complicadas. Havia muita preocupação no início deste ano, por volta de CVE-2021-24074, uma vulnerabilidade semelhante, mas que não foi explorada “, explicou Liska. Por outro lado, o CVE-2020-16898 do ano passado, outra vulnerabilidade semelhante, foi explorado em estado selvagem”, completou.

A vulnerabilidade de falsificação de LSA está relacionada a um comunicado enviado pela Microsoft no final do mês passado sobre como proteger os controladores de domínio do Windows e outros servidores Windows do NTLM Relay Attack conhecido como PetitPotam.

Descoberto em julho pelo pesquisador francês Gilles Lionel, o PetitPotam contra o ataque NTLM Relay pode “forçar os hosts Windows a se autenticarem em outras máquinas por meio da função MS-EFSRPC EfsRpcOpenFileRaw”. Nunca foi descoberto que tivesse sido explorado. 

A  Zero Day Initiative observou que a Adobe também lançou dois patches abordando 29 CVEs no Adobe Connect e Magento. A ZDI disse que apresentou oito dos bugs no recente relatório da Microsoft e explicou que este é o menor número de patches lançados pela Microsoft desde dezembro de 2019. Eles atribuíram o declínio às restrições de recursos, considerando que a Microsoft dedicou muito tempo em julho respondendo a eventos como PrintNightmare e PetitPotam .

Olhando para as atualizações com classificação crítica restantes, a maioria é do tipo navegar e possuir, o que significa que um invasor precisaria convencer um usuário a navegar até um site especialmente criado com um sistema afetado“, disse ZDI.

Uma exceção seria CVE-2021-26432, que é um patch para o Windows Services for NFS ONCRPC XDR Driver. A Microsoft não fornece informações sobre como a vulnerabilidade CVSS 9.8 pode ser explorada, mas observa que não precisa de privilégios ou interação do usuário a ser explorada.

Apontar e imprimir agora requer privilégios administrativos

Nas atualizações enviadas no pacote deste Patch Tuesday, a Microsoft abordou essas vulnerabilidades “PrintNightmare” exigindo que um usuário tenha privilégios administrativos para instalar um driver de impressora por meio do recurso Apontar e imprimir. Nossa investigação sobre várias vulnerabilidades coletivamente chamadas de“ PrintNightmare ”determinou que o comportamento padrão de Apontar e Imprimir não fornece aos clientes o nível de segurança necessário para proteção contra ataques em potencial“, anunciou a Microsoft em um novo comunicado.

Hoje, estamos tratando desse risco alterando a instalação padrão do driver Apontar e Imprimir e o comportamento de atualização para exigir privilégios de administrador. A instalação desta atualização com as configurações padrão atenuará as vulnerabilidades documentadas publicamente no serviço Windows Print Spooler“, comenta a Microsoft. Esta alteração entrará em vigor com a instalação das atualizações de segurança lançadas em 10 de agosto de 2021 para todas as versões do Windows e está documentada como CVE-2021-34481.

A Microsoft avisa que essa mudança pode afetar as organizações que anteriormente permitiam que usuários não elevados adicionassem ou atualizassem drivers de impressora, pois eles não poderão mais fazer isso.

Para organizações que exigem que usuários não elevados instalem drivers de impressora, a Microsoft lançou um comunicado  com instruções sobre como desabilitar essa correção.

No entanto, a Microsoft recomenda enfaticamente que os usuários não desabilitem essa alteração, pois ela “exporá seu ambiente às vulnerabilidades conhecidas publicamente no serviço Spooler de Impressão do Windows“.

Fonte: ZDNet & BleepingComputer

Veja também:

Sobre mindsecblog 1772 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

5 Trackbacks / Pingbacks

  1. Microsoft confirma outro bug de dia zero no spooler de impressão do Windows
  2. MPDFT promove iniciativas que ajudam a identificar situações de risco
  3. Os riscos de segurança negligenciados da nuvem
  4. Uma VPN protege você de hackers?
  5. Simulador de Ransomware, a sua rede é eficaz no bloqueio de ransomware?

Deixe sua opinião!