A Microsoft divulgou um alerta, na sexta-feira (2), sobre uma falha crítica de segurança detectada em todas as versões do seu sistema operacional. Trata-se de uma vulnerabilidade chamada de PrintNightmare (Pesadelo da Impressão em português) que possibilita o acesso total ao computador por pessoas mal-intencionadas.
Localizada, como o nome indica, no Windows Print Spooler, a falha foi divulgada de forma indevida por pesquisadores da empresa chinesa de segurança Sangfor. A companhia publicou recentemente o PoC, que é a demonstração da possibilidade de validação do exploit, sem entrar em contato com a Microsoft.
Pensando que a dona do Windows já tivesse corrigido o problema, os pesquisadores apagaram rapidamente a “prova de conceito”, mas já era tarde. O código de teste havia vazado no GitHub, plataforma de hospedagem de código-fonte aberta a todos os programadores ou usuários, que atuam em projetos em todos os lugares do mundo.
We deleted the POC of PrintNightmare. To mitigate this vulnerability, please update Windows to the latest version, or disable the Spooler service. For more RCE and LPE in Spooler, stay tuned and wait our Blackhat talk. https://t.co/heHeiTCsbQ
— zhiniang peng (@edwardzpeng) June 29, 2021
Os riscos da falha PrintNightmare
Alertada na terça-feira, 29 de junho, a Microsoft ainda levou um tempo para emitir o alerta para evitar uma possível exploração de “dia zero” — um ataque hacker orquestrado no mesmo dia em que um ponto fraco do sistema é descoberto, antes que o fornecedor tenha tempo de disponibilizar uma correção. Segundo a companhia, a vulnerabilidade acabou sendo utilizada por agentes maliciosos.
Falhas no Print Spooler, componente responsável pela comunicação com as impressoras no sistema operacional, são particularmente perigosas. A instância trabalha no nível mais alto de privilégio, que permite a execução remota de código (RCE), e a consequente instalação de programas, acesso e alteração de dados, além da criação de novas contas com direitos de administrador.
A Microsoft já está “correndo” para liberar um patch, mas até que o update esteja disponível, a empresa recomenda que usuários desabilitem o Windows Print Spooler, ou a impressão remota de entrada, desativando temporariamente a Diretiva de Grupo.
Confira mais detalhes sobre a vulnerabilidade e como evitar ataques no site de segurança da Microsoft.
Fontes