PrintNightmare – zero day EoP combinado com RCE – divulgado por “engano” por pesquisadores chineses

PrintNightmare – zero day EoP combinado com RCE – divulgado por “engano” por pesquisadores chineses. PrintNightmare é um bug crítico do Windows zero day que permite a execução remota de código e afeta praticamente todas as versões do Windows desktop e servidor.

Em 1º de julho de 2021, ainda não havia um patch oficial para resolver esse bug. Dada a gravidade, prevemos que a Microsoft lançará uma correção o mais rápido possível.

Existe um bug crítico do Windows que não é apenas conhecido por três nomes diferentes, mas também listado de várias maneiras como tendo três gravidades diferentes. A vulnerabilidade conhecida por três nomes diferentes, foi registrada sob o CVE 2021-1675 e batizada de PrintNightmare, permite que atacantes obtenham acesso total ao computador da vítima e efetuem execuções remotas de código (remote code execution ou RCE) ao explorar problemas no Print Spooler, componente do sistema operacional responsável por se comunicar com impressoras. É ele que carrega os drivers necessários e armazena em RAM o arquivo que será impresso até que o documento seja efetivamente transformado em papel.

primeiro nome que você verá quando buscar pela vulnerabilidade é o identificador oficial do MITER CVE-2021-1675, corrigido na atualização do Patch Tuesday da Microsoft de junho de 2020, lançada em 08 de junho de 2021. Também ouvirá e verá a falha conhecida como bug do Spooler de Impressão, com base no título do guia de atualização de segurança da Microsoft que descreve a falha como uma Vulnerabilidade do Spooler de Impressão do Windows. Por último também encontrará a referência com o nome de batismo PrintNightmare.

O bug foi inicialmente documentado pela Microsoft como a abertura de um EoP (elevation of privilege) em praticamente todas as versões do Windows com suporte, desde o Windows 7 SP1 até o Server 2019. Versões ARM64 do Windows, compilações Server Core (instalações minimalistas de produtos Windows Server) e até mesmo Windows RT 8.1 fizeram parte da lista de plataformas afetadas.

Mas em 21 de junho de 2021, a Microsoft atualizou a página de atualização de segurança CVE-2021-1675 para admitir que o bug também poderia ser usado para RCE (execução remota de código), tornando-o uma vulnerabilidade mais séria do que uma falha apenas EoP.

Se um bug RCE também permitir o EoP, então é ainda pior, porque ele basicamente combina a invasão e o controle de uma única brecha de segurança de alto drama.

A atualização na gravidade de CVE-2021-1675 de EoP para RCE não importava – ou assim todos pensavam – contanto que você já tivesse aplicado a atualização Patch Tuesday. No entanto, aparentemente, o que aconteceu a seguir foi um lamentável erro de publicação.

Pesquisadores da empresa de segurança cibernética Sangfor, que estavam se preparando para apresentar um artigo sobre os bugs do Print Spooler em uma conferência Black Hat em agosto de 2021, parecem ter decidido que seria seguro divulgar seu trabalho de prova de conceito antes do planejado. Afinal, que mal haveria em discutir e demonstrar o bug do Spooler de impressão RCE-and-EoP abertamente, visto que agora estava publicamente documentado e havia sido corrigido duas semanas antes?

Mas o bug descoberto e recém-divulgado do Print Spooler que os pesquisadores do Sangfor divulgaram não era realmente a mesma falha de segurança que foi corrigida na Patch Tuesday. A Sangfor documentou inadvertidamente um bug RCE ainda não divulgado, desencadeando assim, sem querer, um exploit de dia zero.

Por isto o bug novo e não corrigido agora está sendo amplamente descrito pelo apelido PrintNightmare, sendo uma vulnerabilidade de execução remota de código do Windows Print Spooler, CVE-2021-1675, mas não foi evitada pela última atualização do Patch Tuesday.

O código divulgado foi retirado do ar, mas isso não impediu que a versão publicada continuasse circulando.

O que fazer?

Até este momento, sexta feira, 02 de julho, Ainda não existe um patch oficial.  Se uma correção for criada rapidamente é provavel que a Microsoft lance-a o mais rápido possível, talvez mesmo antes das atualizações da Patch Tuesday do próximo mês programadas para 12 de julho de 2021. 

Para mitigar o problema até termos correção, os usuários podem desativar o spooler de impressão em computadores vulneráveis. Se você tiver servidores em que seja absolutamente necessário deixar o Spooler de impressão em execução, especialistas sugerem que se limite o acesso à rede a esses servidores o mais estritamente possível, mesmo que isso signifique que alguns de seus usuários tenham uma inconveniência temporária.

Se você tiver servidores onde o spooler de impressão está sendo executado, mas não é de fato necessário, desligue-o e deixe-o desligado mesmo depois que o patch para esse bug for lançado, com o princípio de não expor uma superfície de ataque maior do que o necessário. 

Usando o comando Windows SC (Service Control)

Para ver se o serviço Spooler está sendo executado em seu computador, você pode usar o comando Windows SC (Service Control) em uma janela de prompt de comando, por exemplo:

Você pode evitar que o spooler inicie sozinho, mesmo após uma reinicialização, com:

Observe que não deve haver espaço entre o início da palavra e o caractere =, mas você precisa de um espaço entre o sinal = e a palavra “disabled”. Você precisa iniciar o prompt de comando (CMD.EXE) como Administrador para reconfigurar os serviços.

Reinicie e você verá:

Se você estiver interessado em saber onde o Service Control Manager armazena os dados de configuração para seus serviços do Windows, você pode usar o programa REGEDIT (não mude nada a menos que tenha certeza do que está fazendo).

Você encontrará os dados do serviço Spooler na chave do Registro HKEY_LOCAL_MACHINE\SYSTEM\​CurrentControlSet\​Services\Spooler. O valor do registro Startdetermina como e quando o serviço será iniciado:

0 = iniciar na inicialização (usado para drivers sem os quais o sistema não pode ser iniciado, por exemplo, drivers de disco); 1 = iniciar enquanto o Windows está carregando (usado para drivers que precisam estar prontos durante a inicialização do Windows); 2 = iniciar automaticamente assim que o software Windows System Control Manager estiver em execução; 3 = iniciar apenas quando explicitamente solicitado (por exemplo, usando o comando sc start); 4 = desativado (recusa-se a iniciar mesmo se solicitado).

Fonte: Naked Security Sophos & G1 & Microsoft 

Veja também:

 

 

 

 

Sobre mindsecblog 1781 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

8 Trackbacks / Pingbacks

  1. Micropatches para PrintNightmare estão disponíveis na plataforma 0patch
  2. Patch emergencial da Microsoft não corrige vulnerabilidade PrintNightmare
  3. Cuba, Política e liberdade de acessos às redes sociais e a internet
  4. Sodimac é condenada a pagar indenização baso na LGPD
  5. Sodimac é condenada a pagar indenização com base na LGPD
  6. Microsoft confirma outro bug de dia zero no spooler de impressão do Windows
  7. Vulnerabilidade PrintNightmare transformada em arma por hackers
  8. Como a descriptografia do tráfego de rede pode melhorar a segurança

Deixe sua opinião!