Após a Microsoft lançar uma atualização de segurança, no início de julho, para corrigir a vulnerabilidade conhecida como PrintNightmare, especialistas estão descobrindo maneiras de contornar o patch sob certas condições.
Recentemente, Benjamin Delpy, pesquisador de segurança e criador da popular ferramenta Mimikatz, encontrou um jeito de explorar a vulnerabilidade no Windows Print Spooler para permitir que qualquer usuário ganhe privilégios de administrador em um computador vulnerável.
Como burlar o patch do Windows
Want to test #printnightmare (ep 4.x) user-to-system as a service???
— ?? Benjamin Delpy (@gentilkiwi) July 17, 2021
(POC only, will write a log file to system32)
connect to \\https://t.co/6Pk2UnOXaG with
- user: .\gentilguest
- password: password
Open 'Kiwi Legit Printer - x64', then 'Kiwi Legit Printer - x64 (another one)' pic.twitter.com/zHX3aq9PpM
A solução alternativa tira vantagem do fato de que o Windows não impede que usuários limitados instalem drivers de impressora. Além disso, o sistema operacional não reclamará quando esses drivers forem obtidos de servidores de impressão remotos e, em seguida, realizará a execução com o nível de privilégio Sistema.
O método permite que qualquer pessoa, incluindo os hackers, obtenha privilégios administrativos simplesmente instalando o driver de impressão remoto. Com isso, os invasores podem executar qualquer comando, adicionar usuários ou instalar qualquer software, dando-lhes efetivamente o controle completo sobre o computador.
A intenção de Delpy é pressionar "a Microsoft a estabelecer algumas prioridades" para consertar o bug. No entanto, o pesquisador afirma que é impossível identificar quais endereços IP pertencem a pesquisadores ou hackers.
Reduzindo os riscos de invasão
Algumas ações podem reduzir o risco de ataques pela vulnerabilidade. (Fonte: Pexels/Mahti Mango/Reprodução)Fonte: Pexels/Mahti Mango/Reprodução
A nova vulnerabilidade pode ser atenuada, reduzindo os riscos de invasão do sistema. Em comunicado do Centro de Coordenação do Instituto de Engenharia de Software da Universidade de Carnegie Mellon, o analista de vulnerabilidade Will Dormann dá as seguintes dicas:
- Pare e desative o serviço Spooler de impressão.
- Desative a impressão remota de entrada por meio da Política de Grupo.
- Bloqueie as portas RPC e SMB no firewall.
- Ative os prompts de segurança para apontar e imprimir.
- Restrinja a capacidade de instalação do driver da impressora aos administradores.
Essas ações oferecem a melhor proteção contra a vulnerabilidade conhecida, mas não impedirá que um hacker assuma o controle de um servidor de impressão permitido com drivers maliciosos.
Categorias
