A Microsoft resolve a vulnerabilidade Printnightmare do spooler de impressão do Windows

A Microsoft corrigiu a vulnerabilidade PrintNightmare no Spooler de Impressão do Windows exigindo que os usuários tenham privilégios administrativos ao usar o recurso Apontar e Imprimir para instalar drivers de impressora.

Em junho, um pesquisador de segurança divulgou acidentalmente uma vulnerabilidade do spooler de impressão de dia zero do Windows chamada PrintNightmare (CVE-2021-34527). Se explorada, essa vulnerabilidade permitiria a execução remota de código e a capacidade de obter privilégios de SISTEMA locais.

A Microsoft logo lançou uma atualização de segurança que corrigiu o componente de execução remota de código, mas não a parte de elevação local.

No entanto, os pesquisadores descobriram rapidamente que o recurso Apontar e Imprimir poderia ser explorado para instalar drivers de impressão maliciosos que permitem que usuários limitados obtenham privilégios de SISTEMA no Windows.

Dica e impressão é um recurso do Windows que permite que os usuários se conectem a um servidor de impressão, mesmo remoto, conectado à Internet, e baixem e instalem automaticamente drivers de impressora a partir do servidor.

Usando esse recurso, o pesquisador de segurança Benjamin Delpy criou um servidor de impressão remoto que instalou um driver de impressora que permite que qualquer usuário com privilégios limitados abra um prompt de comando com privilégios de SISTEMA, conforme mostrado no vídeo abaixo.

O pesquisador de segurança Dragos Jacob Baines também descobriu uma vulnerabilidade no spooler de impressão do Windows rastreado como CVE-2021-34481 que permite a elevação de privilégio da Microsoft.

Baines compartilhou mais informações sobre sua vulnerabilidade em um discurso da Def Con intitulado "Traga sua própria vulnerabilidade de driver de impressão".

Apontar e imprimir agora requer privilégios administrativos

Como parte das atualizações de segurança do Patch Tuesday de agosto de 2021, a Microsoft aborda essas vulnerabilidades "PrintNightmare" exigindo que um usuário tenha privilégios administrativos para instalar um driver de impressora por meio do recurso Apontar e imprimir.

"Nossa investigação de várias vulnerabilidades chamadas coletivamente de "PrintNightmare" determinou que o comportamento padrão do Point and Print não oferece aos clientes o nível de segurança necessário para se proteger contra possíveis ataques", anunciou a Microsoft em um novo comunicado.

"Hoje resolvemos esse risco modificando a instalação padrão do driver Point and Print e o comportamento de atualização para exigir privilégios de administrador. Instalar esta atualização com as configurações padrão reduzirá as vulnerabilidades documentadas publicamente no serviço Windows Print Spooler."

"Esta alteração entrará em vigor com a instalação das atualizações de segurança lançadas em 10 de agosto de 2021 para todas as versões do Windows e está documentada como CVE-2021-34481."

A Microsoft alerta que essa alteração pode afetar organizações que anteriormente permitiam que usuários sem privilégios adicionassem ou atualizassem drivers de impressora, pois não poderão mais fazê-lo.

Para organizações que exigem que usuários não-elevados instalem drivers de impressora, a Microsoft publicou um comunicado com instruções sobre como desabilitar essa correção.

No entanto, a Microsoft aconselha os usuários a não desabilitar essa alteração, pois "expõe o ambiente a vulnerabilidades conhecidas publicamente no serviço Windows Print Spooler".

Atualização 21/08/21 16:02 EST : Infelizmente, logo após a Microsoft lançar a atualização de segurança, a Delpy confirmou que seu pacote de driver de impressão PoC ainda funciona para privilégios elevados.

Ótimo #patchuesday Microsoft, mas você não esqueceu algo por causa do #printnightmare ?

Usuário padrão SYSTEM novamente…

(Posso ter perdido alguma coisa, mas #mimikatz a biblioteca mimispool ainda está carregada…) pic.twitter.com/OWOlyLWhHI

— Benjamin Delpy (@gentilkiwi) 10 de agosto de 2021

  • Como apresentar documentos, planilhas e apresentações do Google no Google Meet
  • Como usar a pesquisa do Google no modo de navegação anônima no iPhone e iPad

descubra mais conteúdo

O que é um amplificador integrado?

Google Pixel Watch também tem detecção de queda, mas não até o próximo ano

As melhores xícaras de café aquecidas de 2022

Como automatizar seu iPhone com base na hora, atividade ou localização

"Isso deve ter sido antes do meu tempo"

Por que a NASA enviou Snoopy para a Lua? – Revisão Geek

Deixe uma resposta Cancelar resposta

Tradução em inglês – PrintNightmare é uma vulnerabilidade crítica de segurança que afeta o sistema operacional Microsoft Windows. A vulnerabilidade ocorre no serviço de spooler de impressão. Existem duas variantes, uma que permite a execução remota de código e outra que leva ao escalonamento de privilégios.

Ir arriba