Falha crítica no Windows permite ação remota de invasores; Microsoft ainda não corrigiu o problema

Pesquisadores de segurança descobriram, no início desta semana, uma falha crítica no Windows Print Spooler, capaz de permitir a entrada de invasores ao sistema. Denominada PrintNightmare e registrada sob o CVE 2021-1675, a vulnerabilidade permite que mal intencionados tenham acesso total ao computador da vítima.

Ao explorar as falhas no Print Spooler, componente do Sistema Operacional responsável por pela comunicação com impressoras, os hackers conseguem efetuar execução remota de código (remote code execution ou RCE), podendo instalar programas, modificar dados e criar novas contas com direitos totais de administrador.

Vulnerabilidade permite que invasores tenham acesso total ao computador da vítima. Microsoft ainda não resolveu o problema. Imagem: ZinetroN – Shutterstock

É uma situação preocupante, já que o Print Spooler é executado no mais alto nível de privilégio do sistema operacional. Esse componente é que carrega os drivers necessários e armazena em RAM o arquivo que será impresso até que o documento seja efetivamente enviado para o papel.

A Microsoft está alertando os usuários do Windows sobre a falha, que ainda não foi corrigida. Embora a Microsoft não tenha classificado a vulnerabilidade, o fato de ela permitir que os invasores executem remotamente código com privilégios no nível do sistema é tão crítico e problemático quanto possível no Windows.

Inapropriadamente, pesquisadores da empresa chinesa Sangfor Technologies publicaram o PoC (sigla para “prova de conceito”), no que parece ter sido uma falha de comunicação entre eles e a Microsoft. O código de teste foi excluído rapidamente, mas não antes de já ter sido bifurcado no GitHub, plataforma de hospedagem de código-fonte. Ele permite que programadores ou qualquer usuário cadastrado na plataforma baixem e contribuam com projetos privados e/ou Open Source de qualquer lugar do mundo. 

Pesquisadores planejavam relatório de vulnerabilidades no Windows Print Spooler para conferência Black Hat

Segundo o site The Verge, os pesquisadores da Sangfor planejavam detalhar várias vulnerabilidades de dia zero no serviço Windows Print Spooler na conferência anual de segurança Black Hat, que acontece entre 31 de julho e 5 de agosto.

Eles podem ter entendido que a Microsoft já havia corrigido essa vulnerabilidade em particular, depois que a empresa publicou patches para uma falha separada do Windows Print Spooler.

Entretanto, a Microsoft levou alguns dias para finalmente emitir um alerta. A empresa admite que “o código que contém a vulnerabilidade está em todas as versões do Windows”, mas não está claro se ele pode ser explorado além das versões de servidor do Windows. 

O Print Spooler é executado por padrão no Windows, incluindo versões de cliente do sistema operacional, controladores de domínio e muitas instâncias do Windows Server também.

Até que esteja disponível o patch de solução no qual a Microsoft está trabalhando, a empresa recomenda desabilitar o serviço Windows Print Spooler (se for uma opção para empresas) ou desabilitar a impressão remota por meio da Diretiva de Grupo. 

A Cybersecurity and Infrastructure Security Agency (CISA) sugere que os administradores “desabilitem o serviço Windows Print Spooler em controladores de domínio e sistemas que não imprimem”.

Vulnerabilidades no serviço Windows Print Spooler têm sido uma dor de cabeça para administradores de sistema por anos. O exemplo mais infame foi o vírus Stuxnet, que usou vários exploits de dia zero, incluindo uma falha do Windows Print Spooler, para destruir várias centrífugas nucleares iranianas há mais de uma década.

Fonte: Olhar Digital

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *