Patch emergencial da Microsoft não corrige vulnerabilidade PrintNightmare RCE

12/07/2021 mindsecblog Notícias 6

Patch emergencial da Microsoft não corrige vulnerabilidade PrintNightmare RCE. Configure o registro “RestrictDriverInstallationToAdministrators” para evitar que usuários instalem drivers de impressora em um servidor de impressão.

Mesmo com a expansão da Microsoft para a a chamada de patches para a vulnerabilidade PrintNightmare do Windows 10 versão 1607, Windows Server 2012 e Windows Server 2016, descobriu -se que a correção para a exploração de execução remota de código no serviço Windows Print Spooler pode ser contornada em certos cenários, derrotando efetivamente as proteções de segurança e permitindo que invasores executem códigos arbitrários em sistemas infectados.

PrintNightmare é um bug crítico do Windows zero day que permite a execução remota de código e afeta praticamente todas as versões do Windows desktop e servidor divulgado por “engano” por pesquisadores chineses.

O fabricante do Windows emitiu uma atualização de emergência para abordar CVE-2021-34527 (pontuação CVSS: 8,8) depois que a falha foi acidentalmente divulgada por pesquisadores da empresa de segurança cibernética Sangfor com sede em Hong Kong no final do mês passado, na qual descobriu-se que o problema era diferente de outro bug – rastreado como CVE-2021-1675 – que foi corrigido pela Microsoft em 8 de junho.

“Vários dias atrás, duas vulnerabilidades de segurança foram encontradas no mecanismo de impressão existente do Microsoft Windows“, disse Yaniv Balmas, chefe de pesquisa cibernética da Check Point, ao The Hacker News. “Essas vulnerabilidades permitem que um invasor mal-intencionado obtenha controle total sobre todos os ambientes do Windows que permitem a impressão.“
“A maioria são estações de trabalho, mas, às vezes, isso se relaciona a servidores inteiros que são parte integrante de redes organizacionais muito populares. A Microsoft classificou essas vulnerabilidades como críticas, mas quando foram publicadas, só conseguiram corrigir uma delas, deixando a porta se abre para explorações da segunda vulnerabilidade “, acrescentou Balmas.

O PrintNightmare se origina de bugs no serviço Windows Print Spooler , que gerencia o processo de impressão em redes locais. A principal preocupação com a ameaça é que os usuários não administradores podem carregar seus próprios drivers de impressora. Isso agora foi corrigido.

“Depois de instalar esta [atualização] e atualizações posteriores do Windows, os usuários que não são administradores podem apenas instalar drivers de impressão assinados em um servidor de impressão” , disse a Microsoft , detalhando as melhorias feitas para mitigar os riscos associados à falha. “As credenciais de administrador serão necessárias para instalar drivers de impressora não assinados em um servidor de impressora daqui para frente.”

Após o lançamento da atualização, o analista de vulnerabilidade do CERT / CC Will Dormann advertiu que o patch “parece abordar apenas as variantes de Execução remota de código (RCE via SMB e RPC) do PrintNightmare, e não a variante de escalonamento de privilégio local (LPE)“, portanto permitindo que os invasores abusem deste último para obter privilégios de SISTEMA em sistemas vulneráveis.

Agora, mais testes da atualização revelaram que os exploits que visam a falha podem contornar as correções inteiramente para obter tanto o escalonamento de privilégios locais quanto a execução remota de código. Para isso, entretanto, uma política do Windows chamada ‘Point and Print Restrictions‘ (Restrições de apontar e imprimir) deve ser ativada (Configuração do computador \ Políticas \ Modelos administrativos \ Impressoras: Restrições de apontar e imprimir).

“Observe que a atualização da Microsoft para CVE-2021-34527 não impede efetivamente a exploração de sistemas onde Apontar e imprimir NoWarningNoElevationOnInstall está definido como 1“, disse Dormann. A Microsoft, por sua vez, explica em seu comunicado que “Apontar e imprimir não está diretamente relacionado a esta vulnerabilidade, mas a tecnologia enfraquece a postura de segurança local de tal forma que a exploração seja possível.“

Embora a Microsoft tenha recomendado a opção nuclear de interromper e desabilitar o serviço Spooler de Impressão, uma solução alternativa é habilitar os prompts de segurança para Apontar e Imprimir e limitar os privilégios de instalação do driver de impressora apenas aos administradores configurando o valor de registro “RestrictDriverInstallationToAdministrators” para evitar usuários regulares de instalar drivers de impressora em um servidor de impressão.

“Nossa investigação mostrou que a atualização de segurança OOB [out-of-band] está funcionando conforme projetado e é eficaz contra explorações de spool de impressora conhecidas e outros relatórios públicos sendo chamados coletivamente de PrintNightmare. Todos os relatórios que investigamos se basearam no alteração da configuração de registro padrão relacionada a apontar e imprimir para uma configuração insegura. “, disse a Microsoft.