Bug PrintNightmare PERIGO!
Descoberta do bug e correção
Um bug crítico de segurança do Windows, apelidado de “PrintNightmare”, foi descoberto em junho de 2021 e, embora a Microsoft tenha lançado uma atualização para corrigi-lo, alguns especialistas alertam que a correção pode não ser suficiente. A vulnerabilidade permite a execução remota de código (RCE) e existe no Windows Print Spooler. O bug foi originalmente abordado como uma pequena vulnerabilidade de elevação de privilégio, mas pesquisadores descobriram que ele poderia ser usado para RCE.
Código de prova de conceito e vulnerabilidade
A Microsoft lançou uma atualização para corrigir a vulnerabilidade, mas alguns especialistas alertam que ela pode não ser suficiente, já que ainda existem relatórios de que o código de prova de conceito funciona contra sistemas totalmente corrigidos. Além disso, a prova de conceito foi descartada no GitHub, mas o código foi copiado e ainda está circulando na plataforma.
Impacto da vulnerabilidade
A vulnerabilidade pode ser utilizada para realizar escalonamento de privilégios locais e execução remota de código em ambientes Windows por meio do serviço Spooler. Isso permite que uma DLL arbitrária seja carregada no sistema remoto ou como um usuário escalado. Para explorar a parte da vulnerabilidade de execução remota de código, é necessário que um usuário se autentique no serviço Spooler no sistema de destino. Isso pode ser obtido por meio de uma vulnerabilidade adicional ou até mesmo de um ataque de phishing.
A exploração bem-sucedida do CVE-2021-1675 pode abrir a porta para a completa tomada de controle do sistema por adversários remotos. No entanto, para conseguir isso, é necessário que um usuário-alvo seja autenticado no serviço Spooler. A vulnerabilidade pode fornecer acesso de domínio total a um controlador de domínio em um contexto de SISTEMA.
Proteção e atualizações
A classificação da Microsoft para o PrintNightmare é relativamente baixa, mas muitos especialistas estão tratando-o como tendo um status “crítico”. A vulnerabilidade é considerada perigosa e pode permitir que um invasor obtenha facilmente a execução remota de código por meio do ambiente Windows com um único conjunto de credenciais.
Para se proteger contra a vulnerabilidade, os usuários devem desabilitar o serviço Spooler em seu ambiente, se possível. Além disso, é importante implementar outras soluções alternativas, como bloquear as portas TCP 135 e 445 no perímetro. As empresas devem tratar isso como uma correção incompleta e estar cientes de que o código de prova de conceito ainda está circulando.
Fontes:
https://threatpost.com/printnightmare-exploit-code-github/167879/
https://www.zdnet.com/article/microsoft-releases-out-of-band-security-update-to-address-windows-printnightmare-bug/
https://www.darkreading.com/vulnerabilities—threats/printnightmare-poc-code-reappears-on-github-/d/d-id/1341328
https://www.bleepingcomputer.com/news/security/printnightmare-poc-republished-on-github-after-microsoft-fix-fails/
https://www.microsoft.com/security/blog/2021/07/01/latest-updates-to-printnightmare/
https://www.tenable.com/blog/cve-2021-1675-printnightmare-bug-allows-remote-code-execution